RU2805219C1 - Method for protecting truncated parameter, device, computer readable data medium and microchip - Google Patents
Method for protecting truncated parameter, device, computer readable data medium and microchip Download PDFInfo
- Publication number
- RU2805219C1 RU2805219C1 RU2022115303A RU2022115303A RU2805219C1 RU 2805219 C1 RU2805219 C1 RU 2805219C1 RU 2022115303 A RU2022115303 A RU 2022115303A RU 2022115303 A RU2022115303 A RU 2022115303A RU 2805219 C1 RU2805219 C1 RU 2805219C1
- Authority
- RU
- Russia
- Prior art keywords
- terminal
- truncated
- parameter
- tmsi
- nas
- Prior art date
Links
Images
Abstract
Description
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕFIELD OF TECHNOLOGY TO WHICH THE INVENTION RELATES
[0001] Настоящая заявка относится к области технологий связи и, в частности, к способу защиты усеченного параметра и устройству. [0001] The present application relates to the field of communication technology and, in particular, to a method for protecting a truncated parameter and an apparatus.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE ART
[0002] В настоящее время в некоторых процедурах (например, в процедуре повторного установления, англ. reestablishment procedure) терминал отправляет устройству доступа к сети сообщение управления радиоресурсами (radio resource control, RRC), которое несет временной идентификатор мобильного абонента эволюции системной архитектуры 5-го поколения (5th generation-system architecture evolution-temporary mobile subscriber identity, 5G-S-TMSI), чтобы устройство доступа к сети могло определить конкретную функцию управления доступом и мобильностью (access and mobility management function, AMF) на основе 5G-S-TMSI.[0002] Currently, in some procedures (for example, in the reestablishment procedure), the terminal sends a radio resource control (RRC) message to the network access device, which carries the temporary identifier of the mobile subscriber of the evolution of the system architecture 5- 5th generation-system architecture evolution-temporary mobile subscriber identity, 5G-S-TMSI, so that the network access device can define a specific access and mobility management function (AMF) based on 5G-S- TMSI.
[0003] Однако, поскольку сообщение RRC имеет ограниченную длину, сообщение RRC может не нести полного 5G-S-TMSI. В этом случае терминалу необходимо усечь 5G-S-TMSI с помощью усеченного параметра, а затем сообщить об усеченном 5G-S-TMSI устройству доступа к сети с помощью сообщения RRC. После получения параметра, полученного после усечения (например, усеченного 5G-S-TMSI), устройство доступа к сети восстанавливает параметр, полученный после усечения, до полного параметра (например, полного 5G-S-TMSI).[0003] However, since the RRC message has a limited length, the RRC message may not carry the full 5G-S-TMSI. In this case, the terminal needs to truncate the 5G-S-TMSI using the truncated parameter and then report the truncated 5G-S-TMSI to the network access device using an RRC message. Upon receiving the truncated parameter (eg, truncated 5G-S-TMSI), the network access device restores the truncated parameter to the full parameter (eg, full 5G-S-TMSI).
[0004] В другом подобном сценарии терминалу также может потребоваться усекать некоторые другие конкретные параметры и выполнить подобную операцию, описанную выше.[0004] In another similar scenario, the terminal may also need to truncate some other specific parameters and perform a similar operation as described above.
[0005] Усеченный параметр, используемый терминалом, обычно настраивается на стороне сети. Контекст безопасности уровня доступа (access stratum, AS) не установлен между устройством доступа к сети и терминал использует функцию оптимизации системы 5-го поколения (5th generation system, 5GS) плоскости управления сотового интернета вещей (cellular internet of things, CIoT). Следовательно, устройство доступа к сети не может выполнять защиту безопасности AS в отношении усеченного параметра, а устройство доступа к сети может только отправить на терминал усеченный параметр без защиты безопасности AS. В этом случае усеченный параметр может быть изменен злоумышленником. Когда усеченный параметр изменен, терминал не может получить правильный усеченный параметр. В результате терминал не может получить доступ к сети. [0005] The truncated parameter used by the terminal is usually configured on the network side. An access stratum (AS) security context is not established between the network access device and the terminal is using the 5th generation system (5GS) optimization function of the cellular internet of things (CIoT) control plane. Therefore, the network access device cannot perform AS security protection on the truncated parameter, and the network access device can only send the truncated parameter without AS security protection to the terminal. In this case, the truncated parameter could be modified by an attacker. When a truncated parameter is modified, the terminal cannot receive the correct truncated parameter. As a result, the terminal cannot access the network.
СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION
[0006] Настоящая заявка обеспечивает способ защиты усеченного параметра, устройство, считываемый компьютером носитель данных и микросхему для снижения риска безопасности усеченного параметра в процессе передачи.[0006] The present application provides a method for protecting a truncated parameter, an apparatus, a computer readable storage medium, and a chip for reducing the security risk of a truncated parameter during transmission.
[0007] В соответствии с первым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, при этом предварительно заданное условие включает в себя то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью отправляет в терминал, когда терминал соответствует предварительно заданному условию, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала.[0007] In accordance with the first aspect, a method for protecting a truncated parameter is provided, which includes: The mobility control network element determines whether the terminal meets a predetermined condition, wherein the predetermined condition includes that the terminal uses a CIoT 5GS plane optimization function management. The mobility control network element sends to the terminal, when the terminal meets a predetermined condition, a downlink NAS message in which NAS security protection is performed using the NAS security context, where the downlink NAS message includes a truncated parameter, and the truncated parameter is used to truncation of the 5G-S-TMSI terminal.
[0008] На основе технического решения в настоящей заявке, когда терминал соответствует предварительно заданному условию, терминал является терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, сетевой элемент управления мобильностью отправляет на терминал сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, так что терминал получает усеченный параметр, в отношении которого выполняется защита безопасности NAS. Таким образом гарантируется, что усеченный параметр, полученный терминалом, не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.[0008] Based on the technical solution in the present application, when the terminal meets the preset condition, the terminal is a terminal that uses the CIoT 5GS control plane optimization function. Therefore, the mobility network element sends a downlink NAS message to the terminal in which NAS security protection is performed using the NAS security context, so that the terminal receives a truncated parameter on which NAS security protection is performed. This ensures that the truncated parameter received by the terminal is not replaced or tampered with, thereby avoiding a denial of service attack launched by an attacker against the terminal, and further ensuring that the terminal can normally access the network.
[0009] В возможном исполнении усеченный параметр предварительно сохраняется в сетевом элементе управления мобильностью. Таким образом, сетевому элементу управления мобильностью не нужно получать усеченный параметр от другого устройства (например, устройства доступа к сети), за счет чего процедура упрощается.[0009] In an exemplary embodiment, the truncated parameter is previously stored in the network mobility control element. Thus, the network mobility control element does not need to receive the truncated parameter from another device (eg, a network access device), thereby simplifying the procedure.
[0010] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью принимает усеченный параметр, отправленный устройством доступа к сети. Можно понять, что сетевой элемент управления мобильностью получает усеченный параметр от устройства доступа к сети. Следовательно, сетевому элементу управления мобильностью не нужно предварительно конфигурировать усеченный параметр, тем самым уменьшая сложность конфигурации усеченного параметра.[0010] In an exemplary embodiment, the method further includes: The network mobility control element receives the truncated parameter sent by the network access device. It can be understood that the network mobility control element receives a truncated parameter from the network access device. Therefore, the mobility network element does not need to pre-configure the truncated parameter, thereby reducing the complexity of configuring the truncated parameter.
[0011] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[0011] In an exemplary embodiment, the mobility control network element determines whether the terminal meets a predetermined condition includes: The mobility control network element determines whether the terminal uses a control plane CIoT 5GS optimization function. If the terminal uses the CIoT 5GS control plane optimization function, the mobility control network element determines that the terminal meets a predefined condition; or if the terminal does not use the CIoT 5GS control plane optimization function, the mobility control network element determines that the terminal does not meet a predefined condition.
[0012] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминал изначально зарегистрирован в сети. То, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и зарегистрирован ли терминал изначально в сети. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[0012] In an exemplary embodiment, the predetermined condition further includes that the terminal is initially registered with the network. That the mobility control network element determines whether the terminal meets a predetermined condition includes: The mobility control network element determines whether the terminal uses the CIoT 5GS control plane optimization function and whether the terminal is initially registered with the network. If the terminal uses the CIoT 5GS control plane optimization function and the terminal is initially registered with the network, the mobility network element determines that the terminal meets a predefined condition; or if the terminal does not use the CIoT 5GS control plane optimization function or the terminal is not initially registered with the network, the network mobility control element determines that the terminal does not meet a predefined condition.
[0013] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, зарегистрирован ли терминал изначально в сети, включает в себя: Сетевой элемент управления мобильностью определяет на основе типа регистрации, о котором сообщил терминал, что терминал изначально зарегистрирован в сети.[0013] In an exemplary embodiment, the mobility control network element determines whether the terminal is initially registered with the network includes: The mobility control network element determines, based on the registration type reported by the terminal, that the terminal is initially registered with the network.
[0014] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминалу нужно обновить усеченный параметр. То, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[0014] In an exemplary embodiment, the predetermined condition further includes that the terminal needs to update the truncated parameter. That the mobility control network element determines whether the terminal meets a predetermined condition includes: The mobility control network element determines whether the terminal uses the CIoT 5GS control plane optimization function and whether the terminal needs to update the truncated parameter. If the terminal uses the CIoT 5GS control plane optimization function and the terminal needs to update the truncated parameter, the mobility network element determines that the terminal meets the predefined condition; or if the terminal does not use the CIoT 5GS control plane optimization function or the terminal does not need to update the truncated parameter, the mobility network element determines that the terminal does not meet the predefined condition.
[0015] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя: Когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр.[0015] In an exemplary embodiment, the mobility control network element determining whether the terminal needs to update the truncated parameter includes: When the truncated parameter configured in the mobility control network element is different from the truncated parameter that is stored in the context of the terminal, the network element mobility management determines that the terminal needs to update the truncated parameter.
[0016] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя: После того как сетевой элемент управления мобильностью обновляет усеченный параметр, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр. В возможном исполнении то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя: Если предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, и сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[0016] In an exemplary embodiment, the mobility network element determining whether the terminal needs to update the truncated parameter includes: After the mobility network element updates the truncated parameter, the mobility network element determines that the terminal needs to update the truncated parameter. In an exemplary embodiment, the mobility control network element determining whether the terminal uses the control plane CIoT 5GS optimization function includes: If the preferred network behavior reported by the terminal indicates that the terminal prefers to use the control plane CIoT 5GS optimization function, and the network element mobility management supports the CIoT 5GS control plane optimization function, the mobility management network element determines that the terminal uses the CIoT 5GS control plane optimization function.
[0017] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя: Если контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[0017] In an exemplary embodiment, the mobility control network element determines whether the terminal uses the control plane CIoT 5GS optimization function includes: If the terminal context indicates that the terminal uses the control plane CIoT 5GS optimization function, the mobility control network element determines whether that the terminal uses the CIoT 5GS control plane optimization function.
[0018] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: После того, как сетевой элемент управления мобильностью принимает сообщение запроса регистрации или сообщение запроса услуги терминала, сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию.[0018] In an exemplary embodiment, the mobility network element determining whether the terminal meets a predetermined condition includes: After the mobility network element receives the registration request message or the service request message of the terminal, the mobility network element determines whether whether the terminal meets a predefined condition.
[0019] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.[0019] In an exemplary embodiment, the downlink NAS message is a service acceptance message or a registration acceptance message.
[0020] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0020] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0021] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF. Альтернативно сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью. В качестве альтернативы сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.[0021] In an exemplary embodiment, the method further includes: The mobility management network element updates the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers. Alternatively, the network mobility control element updates the truncated parameter in accordance with the instructions of the network management system. Alternatively, the network mobility control element receives the updated truncated parameter sent by the network access device.
[0022] Согласно второму аспекту предоставляется способ защиты усеченного параметра, который включает в себя: Терминал принимает сообщение NAS нисходящей линии связи, которое отправлено сетевым элементом управления мобильностью и в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала. Терминал выполняет снятие защиты безопасности с сообщения NAS нисходящей линии связи. Терминал сохраняет усеченный параметр после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.[0022] According to a second aspect, a method for protecting a truncated parameter is provided, which includes: The terminal receives a downlink NAS message that is sent by a mobility management network element, and wherein NAS security protection is performed using a NAS security context, wherein the downlink NAS message includes a truncated parameter, and the truncated parameter is used to truncate the 5G-S-TMSI of the terminal. The terminal performs security deprotection on the downlink NAS message. The terminal stores the truncated parameter after successfully deprotecting the downlink NAS message.
[0023] На основе технического решения в настоящей заявке, поскольку усеченный параметр переносится в сообщении NAS нисходящей линии связи, для которого выполняется защита безопасности NAS, усеченный параметр также находится под защитой безопасности NAS. Таким образом гарантируется, что усеченный параметр не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.[0023] Based on the technical solution in the present application, since the truncated parameter is carried in a downlink NAS message for which NAS security protection is performed, the truncated parameter is also under NAS security protection. This ensures that the truncated parameter is not replaced or tampered with, thereby avoiding a denial of service attack launched by an attacker against the terminal, and further ensuring that the terminal can normally access the network.
[0024] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя: Уровень NAS терминала сохраняет усеченный параметр.[0024] In an exemplary embodiment, the terminal storing the truncated parameter includes: The NAS layer of the terminal storing the truncated parameter.
[0025] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[0025] In an exemplary embodiment, the method further includes: The NAS layer of the terminal sending the truncated parameter to the RRC layer of the terminal. The terminal's RRC layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[0026] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[0026] In an exemplary embodiment, the method further includes: The terminal's NAS layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[0027] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала сохраняет усеченный параметр.[0027] In an exemplary embodiment, the terminal storing the truncated parameter includes: The terminal's NAS layer sends the truncated parameter to the terminal's RRC layer. The terminal RRC layer stores the truncated parameter.
[0028] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[0028] In an exemplary embodiment, the method further includes: The terminal's RRC layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[0029] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[0029] In an exemplary embodiment, the method further includes: The RRC layer of the terminal sending the truncated parameter to the NAS layer of the terminal. The terminal NAS layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[0030] В возможном исполнении способ дополнительно включает в себя: Терминал отправляет сообщение запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[0030] In an exemplary embodiment, the method further includes: The terminal sends an RRC re-establishment request message to the network access device, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[0031] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.[0031] In an exemplary embodiment, the downlink NAS message is a service acceptance message or a registration acceptance message.
[0032] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0032] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0033] В соответствии с третьим аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS. Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, где усеченный параметр используется для усечения 5G-S-TMSI терминала.[0033] According to a third aspect, a method for protecting a truncated parameter is provided, which includes: The network access device determines whether the terminal supports a CIoT 5GS optimization function. The network access device sends the truncated parameter to the network mobility control element when the terminal supports the 5GS CIoT optimization function, where the truncated parameter is used to truncate the terminal's 5G-S-TMSI.
[0034] На основе технического решения в настоящей заявке устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, чтобы сетевой элемент управления мобильностью выполнял защиту безопасности NAS в отношении усеченного параметра. Таким образом, предотвращается прямая отправка устройством доступа к сети усеченного параметра без защиты безопасности терминалу, и снижается риск безопасности усеченного параметра в процессе передачи.[0034] Based on the technical solution in the present application, the network access device sends the truncated parameter to the network mobility control element when the terminal supports the CIoT 5GS optimization function, so that the network mobility control element performs NAS security protection with respect to the truncated parameter. This prevents the network access device from directly sending the truncated parameter without security protection to the terminal, and reduces the security risk of the truncated parameter during transmission.
[0035] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0035] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the terminal capability indication information is used to indicate that the terminal supports the CIoT 5GS optimization function, the network access device determines that the terminal supports the CIoT 5GS optimization function.
[0036] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0036] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the frequency used by the terminal is the same as the frequency used by the CIoT device, the network access device determines that the terminal supports CIoT 5GS optimization function.
[0037] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0037] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the message type sent by the terminal matches the message type sent by the CIoT device, the network access device determines that The terminal supports the CIoT 5GS optimization function.
[0038] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: После того, как устройство доступа к сети получает сообщение RRC восходящей линии связи, отправленное терминалом, устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.[0038] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: After the network access device receives the uplink RRC message sent by the terminal, the network access device determines whether the terminal supports the CIoT 5GS optimization function.
[0039] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.[0039] In an exemplary embodiment, the uplink RRC message is an RRC Establishment Request message or an RRC Establishment Complete message.
[0040] В возможном исполнении то, что устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, включает в себя: Устройство доступа к сети отправляет начальное сообщение UE сетевому элементу управления мобильностью, где начальное сообщение UE включает в себя усеченный параметр.[0040] In an exemplary embodiment, the network access device sending the truncated parameter to the network mobility control element includes: The network access device sending a UE initial message to the network mobility control element, where the UE initial message includes the truncated parameter.
[0041] В возможном исполнении усеченный параметр предварительно сохраняется в устройстве доступа к сети.[0041] In a possible embodiment, the truncated parameter is previously stored in the network access device.
[0042] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети принимает сообщение запроса на повторное установление RRC, отправленное терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[0042] In an exemplary embodiment, the method further includes: The network access device receives an RRC re-establishment request message sent by the terminal, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[0043] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0043] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0044] В соответствии с четвертым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр, при этом усеченный параметр используется для усечения 5G-S-TMSI. Сетевой элемент управления мобильностью ищет терминал, который использует функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.[0044] In accordance with a fourth aspect, a method for protecting a truncated parameter is provided, which includes: The mobility network element updates the truncated parameter, wherein the truncated parameter is used to truncate the 5G-S-TMSI. The mobility control network element looks for a terminal that uses the CIoT 5GS control plane optimization feature. The mobility control network element sends to a terminal that uses the control plane CIoT 5GS optimization function a downlink NAS message in which NAS security protection is performed using the NAS security context, wherein the downlink NAS message includes the updated truncated parameter.
[0045] На основе технического решения в настоящей заявке, в сценарии, в котором сетевой элемент управления мобильностью обновляет усеченный параметр, сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS. Поскольку обновленный усеченный параметр передается в сообщении NAS нисходящей линии связи, обновленный усеченный параметр не заменяется и не подделывается злоумышленником во время передачи по радиоинтерфейсу. Таким образом, терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может своевременно получить правильный обновленный усеченный параметр, чтобы гарантировать, что терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может нормально получить доступ к сети.[0045] Based on the technical solution in the present application, in a scenario in which the mobility network element updates a truncated parameter, the mobility network element sends to the terminal that uses the control plane CIoT 5GS optimization function a downlink NAS message in which the security protection NAS runs using the NAS security context. Because the updated truncated parameter is sent in the downlink NAS message, the updated truncated parameter is not replaced or tampered with by an attacker during transmission over the air interface. In this way, the terminal that uses the CIoT 5GS control plane optimization function can obtain the correct updated truncated parameter in a timely manner to ensure that the terminal that uses the CIoT 5GS control plane optimization function can access the network normally.
[0046] В возможном исполнении то, что сетевой элемент управления мобильностью, обновляющий усеченный параметр, включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF. Альтернативно сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью. В качестве альтернативы сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.[0046] In an exemplary embodiment, the mobility network element updating the truncated parameter includes: The mobility network element updates the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers. Alternatively, the network mobility control element updates the truncated parameter in accordance with the instructions of the network management system. Alternatively, the network mobility control element receives the updated truncated parameter sent by the network access device.
[0047] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[0047] In an exemplary embodiment, the mobility management network element sends to a terminal that uses the control plane CIoT 5GS optimization function, a downlink NAS message in which NAS security protection is performed using the NAS security context, including: When the terminal, which uses the CIoT 5GS control plane optimization function is in the connected state, the mobility network element sends a downlink NAS message to the terminal that uses the CIoT 5GS control plane optimization function.
[0048] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью ожидает перехода терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, в подключенное состояние. После того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[0048] In an exemplary embodiment, the mobility management network element sends to a terminal that uses the control plane CIoT 5GS optimization function, a downlink NAS message in which NAS security protection is performed using the NAS security context, including: When the terminal, which uses the CIoT 5GS control plane optimization function is in an unconnected state, the mobility network element waits for the terminal that uses the CIoT 5GS control plane optimization function to enter the connected state. After the terminal that uses the CIoT 5GS optimization function of the control plane enters the connected state, and the mobility network element and the terminal that uses the CIoT 5GS optimization function of the control plane activate NAS security, the mobility network element sends a downlink NAS message communication terminal that uses the CIoT 5GS control plane optimization function.
[0049] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью предписывает, посредством поискового вызова, терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, перейти в подключенное состояние. После того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[0049] In an exemplary embodiment, the mobility management network element sends to a terminal that uses the control plane CIoT 5GS optimization function, a downlink NAS message in which NAS security protection is performed using the NAS security context, including: When the terminal, which uses the CIoT 5GS control plane optimization function is in an unconnected state, the mobility network element causes, through a paging, the terminal that uses the CIoT 5GS control plane optimization function to transition to the connected state. After the terminal that uses the CIoT 5GS optimization function of the control plane enters the connected state, and the mobility network element and the terminal that uses the CIoT 5GS optimization function of the control plane activate NAS security, the mobility network element sends a downlink NAS message communication terminal that uses the CIoT 5GS control plane optimization function.
[0050] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением команды обновления конфигурации UE или сообщением о принятии услуги.[0050] In an exemplary embodiment, the downlink NAS message is a UE configuration update command message or a service acceptance message.
[0051] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0051] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0052] В соответствии с пятым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью принимает усеченный параметр, отправленный устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Сетевой элемент управления мобильностью выполняет вычисление целостности 5G-S-TMSI терминала на основе контекста безопасности NAS терминала, для формирования первого NAS MAC. Сетевой элемент управления мобильностью отправляет первый NAS MAC устройству доступа к сети.[0052] According to a fifth aspect, a method for protecting a truncated parameter is provided, which includes: A network mobility control element receives a truncated parameter sent by a network access device, where the truncated parameter is used to truncate a 5G-S-TMSI of a terminal. The mobility network element performs 5G-S-TMSI integrity calculation of the terminal based on the terminal's NAS security context to generate the first NAS MAC. The mobility network element sends the first NAS MAC to the network access device.
[0053] На основе технического решения в настоящей заявке сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, чтобы получить первый NAS MAC, и отправляет первый NAS MAC устройству доступа к сети. Таким образом, устройство доступа к сети может отправить первый NAS MAC и усеченный параметр терминалу, чтобы гарантировать, что усеченный параметр не будет заменен или подделан злоумышленником в процессе передачи, тем самым снижая риск безопасности усеченного параметр в процессе передачи.[0053] Based on the technical solution in the present application, the network mobility control element performs truncated parameter integrity calculation to obtain the first NAS MAC, and sends the first NAS MAC to the network access device. Thus, the network access device can send the first NAS MAC and the truncated parameter to the terminal to ensure that the truncated parameter is not replaced or tampered with by an attacker during transmission, thereby reducing the security risk of the truncated parameter during transmission.
[0054] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью принимает информацию указания защиты и/или параметр актуальности, отправленный устройством доступа к сети, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнить защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.[0054] In an exemplary embodiment, the method further includes: The network mobility control element receives security indication information and/or a relevance parameter sent by the network access device, where the security indication information is used to direct the network mobility control element to perform security protection with respect to the truncated parameter. , and the relevance parameter is used to calculate the integrity of the truncated parameter.
[0055] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0055] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0056] В соответствии с шестым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Устройство доступа к сети принимает первый NAS MAC, отправленный сетевым элементом управления мобильностью, где первый NAS MAC получается путем выполнения вычисления целостности усеченного параметра. Устройство доступа к сети отправляет терминалу первый NAS MAC и усеченный параметр.[0056] According to a sixth aspect, a method for protecting a truncated parameter is provided, which includes: A network access device sends the truncated parameter to a network mobility control element, where the truncated parameter is used to truncate a 5G-S-TMSI of a terminal. The network access device receives the first NAS MAC sent by the network mobility control element, where the first NAS MAC is obtained by performing a truncated parameter integrity calculation. The network access device sends the first NAS MAC and the truncated parameter to the terminal.
[0057] Основываясь на техническом решении в настоящей заявке, устройство доступа к сети может отправить первый NAS MAC и усеченный параметр терминалу, чтобы гарантировать, что усеченный параметр не будет заменен или подделан злоумышленником в процессе передачи, тем самым уменьшая риск безопасности усеченного параметра в процессе передачи.[0057] Based on the technical solution in the present application, the network access device can send the first NAS MAC and the truncated parameter to the terminal to ensure that the truncated parameter is not replaced or tampered with by an attacker during transmission, thereby reducing the security risk of the truncated parameter in the process transfers.
[0058] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS. То, что устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, включает в себя: Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS.[0058] In an exemplary embodiment, the method further includes: The network access device determines whether the terminal supports the CIoT 5GS optimization function. That the network access device sends a truncated parameter to the network mobility control element includes: The network access device sends a truncated parameter to the network mobility control element when the terminal supports the CIoT 5GS optimization function.
[0059] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0059] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the terminal capability indication information is used to indicate that the terminal supports the CIoT 5GS optimization function, the network access device determines that the terminal supports the CIoT 5GS optimization function.
[0060] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0060] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the frequency used by the terminal is the same as the frequency used by the CIoT device, the network access device determines that the terminal supports CIoT 5GS optimization function.
[0061] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[0061] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: If the message type sent by the terminal matches the message type sent by the CIoT device, the network access device determines that The terminal supports the CIoT 5GS optimization function.
[0062] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: После того, как устройство доступа к сети получает сообщение RRC восходящей линии связи, отправленное терминалом, устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.[0062] In an exemplary embodiment, the network access device determining whether the terminal supports the CIoT 5GS optimization function includes: After the network access device receives the uplink RRC message sent by the terminal, the network access device determines whether the terminal supports the CIoT 5GS optimization function.
[0063] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.[0063] In an exemplary embodiment, the uplink RRC message is an RRC Establishment Request message or an RRC Establishment Complete message.
[0064] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети отправляет информацию указания защиты и/или параметр актуальности сетевому элементу управления мобильностью, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.[0064] In an exemplary embodiment, the method further includes: The network access device sends security indication information and/or a relevance parameter to a network mobility control element, where the security indication information is used to direct the network mobility control element to perform security protection with respect to the truncated parameter, and the relevance parameter is used to calculate the integrity of the truncated parameter.
[0065] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети принимает сообщение запроса на повторное установление RRC, отправленное терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[0065] In an exemplary embodiment, the method further includes: The network access device receives an RRC re-establishment request message sent by the terminal, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[0066] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0066] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0067] В соответствии с седьмым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Терминал принимает первый NAS MAC и усеченный параметр, отправленные устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Терминал выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования второго NAS MAC. Терминал проверяет первый NAS MAC на основе второго NAS MAC. Терминал сохраняет усеченный параметр, если проверка первого NAS MAC прошла успешно.[0067] According to the seventh aspect, a method for protecting a truncated parameter is provided, which includes: A terminal receives a first NAS MAC and a truncated parameter sent by a network access device, where the truncated parameter is used to truncate a 5G-S-TMSI of the terminal. The terminal performs a truncated parameter integrity calculation based on the NAS security context to form a second NAS MAC. The terminal checks the first NAS MAC based on the second NAS MAC. The terminal saves the truncated parameter if the verification of the first NAS MAC is successful.
[0068] На основании технического решения в настоящей заявке, поскольку терминал принимает первый NAS MAC и усеченный параметр, терминал может проверить целостность усеченного параметра путем проверки первого NAS MAC. При определении того, что усеченный параметр не заменен и не подделан, терминал сохраняет усеченный параметр для усечения 5G-S-TMSI на основе усеченного параметра в последующем процессе.[0068] Based on the technical solution in the present application, since the terminal receives the first NAS MAC and the truncated parameter, the terminal can verify the integrity of the truncated parameter by checking the first NAS MAC. When determining that the truncated parameter has not been replaced or tampered with, the terminal stores the truncated parameter to truncate the 5G-S-TMSI based on the truncated parameter in a subsequent process.
[0069] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя : Уровень RRC терминала сохраняет усеченный параметр.[0069] In an exemplary embodiment, the terminal storing the truncated parameter includes: The RRC layer of the terminal storing the truncated parameter.
[0070] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[0070] In an exemplary embodiment, the method further includes: The terminal's RRC layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[0071] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[0071] In an exemplary embodiment, the method further includes: The RRC layer of the terminal sending the truncated parameter to the NAS layer of the terminal. The terminal NAS layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[0072] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала сохраняет усеченный параметр.[0072] In an exemplary embodiment, the terminal storing the truncated parameter includes: The RRC layer of the terminal sends the truncated parameter to the NAS layer of the terminal. The terminal NAS layer stores the truncated parameter.
[0073] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[0073] In an exemplary embodiment, the method further includes: The terminal's NAS layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[0074] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[0074] In an exemplary embodiment, the method further includes: The NAS layer of the terminal sending the truncated parameter to the RRC layer of the terminal. The terminal's RRC layer truncates the terminal's 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[0075] В возможном исполнении способ дополнительно включает в себя: Терминал отправляет сообщение запроса на повторное установление RRC в устройство доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[0075] In an exemplary embodiment, the method further includes: The terminal sends an RRC re-establishment request message to the network access device, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[0076] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0076] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0077] В соответствии с восьмым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью определения того, соответствует ли терминал предварительно заданному условию, где предварительно заданное условие включает в себя то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления; и модуль связи, выполненный с возможностью отправки терминалу, когда терминал соответствует предварительно заданному условию, сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала.[0077] According to the eighth aspect, a communication device is provided that includes: a processing module configured to determine whether a terminal meets a predetermined condition, where the predetermined condition includes that the terminal uses a CIoT 5GS plane optimization function management; and a communication module configured to send to the terminal, when the terminal meets a predetermined condition, a downlink NAS message in which NAS security protection is performed using a NAS security context, wherein the downlink NAS message includes a truncated parameter, and the truncated parameter used to truncate the 5G-S-TMSI of the terminal.
[0078] В возможном исполнении устройство связи дополнительно включает в себя модуль хранения; и модуль хранения выполнен с возможностью сохранения усеченного параметра.[0078] In an exemplary embodiment, the communication device further includes a storage module; and the storage module is configured to store the truncated parameter.
[0079] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема усеченного параметра, отправленного устройством доступа к сети.[0079] In an exemplary embodiment, the communication module is further configured to receive a truncated parameter sent by the network access device.
[0080] В возможном исполнении то, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, определение того, что терминал не соответствует предварительно заданному условию.[0080] In an exemplary embodiment, the processing module is configured to determine whether the terminal meets a predetermined condition includes: determining whether the terminal uses a CIoT 5GS control plane optimization function; and if the terminal uses a CIoT 5GS optimization function of the control plane, determining that the terminal meets a predetermined condition; or if the terminal does not use the CIoT 5GS control plane optimization function, determining that the terminal does not meet a predefined condition.
[0081] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминал изначально зарегистрирован в сети. То, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и был ли терминал изначально зарегистрирован в сети; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, определение того, что терминал не соответствует предварительно заданному условию.[0081] In an exemplary embodiment, the predetermined condition further includes that the terminal is initially registered with the network. That the processing module is configured to determine whether the terminal meets a predetermined condition includes: determining whether the terminal uses the CIoT 5GS control plane optimization function and whether the terminal was initially registered in the network; and if the terminal uses a CIoT 5GS optimization function of the control plane and the terminal is initially registered in the network, determining that the terminal meets a predetermined condition; or if the terminal does not use the CIoT 5GS control plane optimization function or the terminal is not initially registered with the network, determining that the terminal does not meet a predefined condition.
[0082] В возможном исполнении модуль обработки, в частности, выполнен с возможностью определения на основе типа регистрации, сообщаемого терминалом, того, что терминал изначально зарегистрирован в сети.[0082] In an exemplary embodiment, the processing module is particularly configured to determine, based on the registration type reported by the terminal, that the terminal is initially registered with the network.
[0083] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминалу нужно обновить усеченный параметр. То, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминалу нужно обновить усеченный параметр, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминалу не нужно обновлять усеченный параметр, определение того, что терминал не соответствует предварительно заданному условию.[0083] In an exemplary embodiment, the predetermined condition further includes that the terminal needs to update the truncated parameter. That the processing module is configured to determine whether the terminal meets a predetermined condition includes: determining whether the terminal uses the CIoT 5GS control plane optimization function and whether the terminal needs to update the truncated parameter; and if the terminal uses a CIoT 5GS optimization function of the control plane and the terminal needs to update the truncated parameter, determining that the terminal meets a predetermined condition; or if the terminal does not use the CIoT 5GS control plane optimization function or the terminal does not need to update the truncated parameter, determining that the terminal does not meet a predefined condition.
[0084] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, определения того, что терминалу нужно обновить усеченный параметр.[0084] In an exemplary embodiment, the processing module is specifically configured to: when a truncated parameter configured in the mobility network element differs from a truncated parameter that is stored in the context of the terminal, determine that the terminal needs to update the truncated parameter.
[0085] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как сетевой элемент управления мобильностью обновит усеченный параметр, определения того, что терминалу нужно обновить усеченный параметр.[0085] In an exemplary embodiment, the processing module is particularly configured to: after the mobility network element updates the truncated parameter, determine that the terminal needs to update the truncated parameter.
[0086] В возможном исполнении модуль обработки дополнительно выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF; или обновления усеченного параметра в соответствии с инструкцией системы управления сетью; или получения обновленного усеченного параметра, отправленного устройством доступа к сети.[0086] In an exemplary embodiment, the processing module is further configured to update the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers; or updating the truncated parameter in accordance with the instructions of the network management system; or receiving an updated truncated parameter sent by the network access device.
[0087] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если предпочтительное поведение сети, о котором сообщает терминал, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, а сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, определения того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[0087] In a possible embodiment, the processing module is particularly configured to: if the preferred network behavior reported by the terminal indicates that the terminal prefers to use the CIoT 5GS control plane optimization function, and the mobility control network element supports the CIoT 5GS plane optimization function control, determining that the terminal is using the CIoT 5GS control plane optimization function.
[0088] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, определения того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[0088] In an exemplary embodiment, the processing module is particularly configured to: if the terminal context indicates that the terminal is using a CIoT 5GS control plane optimization function, determining that the terminal is using a CIoT 5GS control plane optimization function.
[0089] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи принимает сообщение запроса регистрации или сообщение запроса на обслуживание от терминала, определения того, соответствует ли терминал предварительно заданному условию.[0089] In an exemplary embodiment, the processing module is particularly configured to: after the communication module receives a registration request message or a service request message from a terminal, determine whether the terminal meets a predetermined condition.
[0090] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.[0090] In an exemplary embodiment, the downlink NAS message is a service acceptance message or a registration acceptance message.
[0091] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[0091] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[0092] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF.[0092] In an exemplary embodiment, the processing module is configured to update the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers.
[0093] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра в соответствии с инструкцией системы управления сетью.[0093] In an exemplary embodiment, the processing module is configured to update the truncated parameter in accordance with an instruction of the network management system.
[0094] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема обновленного усеченного параметра, отправленного устройством доступа к сети.[0094] In an exemplary embodiment, the communication module is further configured to receive an updated truncated parameter sent by the network access device.
[0095] В соответствии с девятым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема сообщения NAS нисходящей линии связи, которое отправлено сетевым элементом управления мобильностью и на котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала; модуль обработки, выполненный с возможностью выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи; и модуль хранения, выполненный с возможностью сохранения усеченного параметра после того, как модуль обработки успешно выполнит снятие защиты безопасности с сообщения NAS нисходящей линии связи.[0095] According to a ninth aspect, a communication apparatus is provided that includes: a communication module configured to receive a downlink NAS message that is sent by a mobility management network element and on which NAS security protection is performed using a NAS security context, where the downlink NAS message includes a truncated parameter, and the truncated parameter is used to truncate the 5G-S-TMSI of the terminal; a processing module configured to perform security deprotection on the downlink NAS message; and a storage module configured to store the truncated parameter after the processing module successfully performs security deprotection on the downlink NAS message.
[0096] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включающего в себя: сохранение посредством уровня NAS усеченного параметра.[0096] In an exemplary embodiment, the storage module is configured to store the truncated parameter, including: storing by the NAS layer the truncated parameter.
[0097] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: отправку посредством уровня NAS усеченного параметра уровню RRC; и усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[0097] In an exemplary embodiment, the processing module is further configured to receive a truncated 5G-S-TMSI, including: sending, through the NAS layer, the truncated parameter to the RRC layer; and truncating by the RRC layer of the 5G-S-TMSI of the terminal based on the truncated parameter to obtain the truncated 5G-S-TMSI.
[0098] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.[0098] In an exemplary embodiment, the processing module is further configured to obtain a truncated 5G-S-TMSI, including: trimming by a NAS layer of a 5G-S-TMSI terminal based on the truncated parameter to obtain a truncated 5G-S-TMSI; and sending, via the NAS layer, the truncated 5G-S-TMSI to the RRC layer.
[0099] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включающего в себя: отправку посредством уровня NAS усеченного параметра уровню RRC; и сохранение посредством уровня RRC усеченного параметра.[0099] In an exemplary embodiment, the storage module is configured to store the truncated parameter, including: sending, through the NAS layer, the truncated parameter to the RRC layer; and storing, by the RRC layer, the truncated parameter.
[00100] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[00100] In an exemplary embodiment, the processing module is further configured to obtain a truncated 5G-S-TMSI, including: truncation by an RRC layer of a 5G-S-TMSI terminal based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[00101] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: отправку посредством уровня RRC усеченного параметра уровню NAS; усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.[00101] In an exemplary embodiment, the processing module is further configured to receive a truncated 5G-S-TMSI, including: sending, via the RRC layer, the truncated parameter to the NAS layer; truncating by the terminal's 5G-S-TMSI NAS layer based on the truncated parameter to obtain a truncated 5G-S-TMSI; and sending, via the NAS layer, the truncated 5G-S-TMSI to the RRC layer.
[00102] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.[00102] In an exemplary embodiment, the downlink NAS message is a service acceptance message or a registration acceptance message.
[00103] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00103] In an exemplary design, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00104] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки сообщения запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[00104] In an exemplary embodiment, the communication module is further configured to send an RRC re-establishment request message to the network access device, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[00105] В соответствии с десятым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS; и модуль связи, выполненный с возможностью: отправки усеченного параметра сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, где усеченный параметр используется для усечения 5G-S-TMSI терминала.[00105] According to a tenth aspect, a communication device is provided that includes: a processing module configured to determine whether a terminal supports a CIoT 5GS optimization function; and a communication module configured to: send the truncated parameter to the mobility network element when the terminal supports a 5GS CIoT optimization function, where the truncated parameter is used to truncate the terminal's 5G-S-TMSI.
[00106] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00106] In an exemplary embodiment, the processing module is particularly configured to: if the terminal capability indication information is used to indicate that the terminal supports the CIoT 5GS optimization function, determine that the terminal supports the CIoT 5GS optimization function.
[00107] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00107] In an exemplary embodiment, the processing module is particularly configured to: if the frequency used by the terminal matches the frequency used by the CIoT device, determine that the terminal supports the CIoT 5GS optimization function.
[00108] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00108] In an exemplary embodiment, the processing module is particularly configured to: if the type of message sent by the terminal matches the type of message sent by the CIoT device, determine that the terminal supports the CIoT 5GS optimization function.
[00109] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи получит сообщение RRC восходящей линии связи, отправленное терминалом, определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS.[00109] In an exemplary embodiment, the processing module is particularly configured to: after the communication module receives an uplink RRC message sent by the terminal, determine whether the terminal supports the CIoT 5GS optimization function.
[00110] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.[00110] In an exemplary embodiment, the uplink RRC message is an RRC Establishment Request message or an RRC Establishment Complete message.
[00111] В возможном исполнении модуль связи, в частности, выполнен с возможностью отправки начального сообщения UE сетевому элементу управления мобильностью, где начальное сообщение UE включает в себя усеченный параметр.[00111] In an exemplary embodiment, the communication module is specifically configured to send a UE initial message to a network mobility control element, where the UE initial message includes a truncated parameter.
[00112] В возможном исполнении устройство связи дополнительно включает в себя модуль хранения; и модуль хранения выполнен с возможностью сохранения усеченного параметра.[00112] In an exemplary embodiment, the communication device further includes a storage module; and the storage module is configured to store the truncated parameter.
[00113] В возможном исполнении модуль связи выполнен с возможностью приема сообщения запроса на повторное установление RRC, отправленного терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[00113] In an exemplary embodiment, the communication module is configured to receive an RRC re-establishment request message sent by the terminal, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[00114] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00114] Optionally, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00115] В соответствии с одиннадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью: обновления усеченного параметра, где усеченный параметр используется для усечения 5G-S-TMSI; и поиска терминала, который использует функцию оптимизации CIoT 5GS плоскости управления; и модуль связи, выполненный с возможностью отправки на терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.[00115] In accordance with the eleventh aspect, a communication device is provided that includes: a processing module configured to: update a truncated parameter, where the truncated parameter is used to truncate a 5G-S-TMSI; and searching for a terminal that uses the CIoT 5GS control plane optimization function; and a communication module configured to send to a terminal that uses the CIoT 5GS control plane optimization function a downlink NAS message, in which NAS security protection is performed using a NAS security context, wherein the downlink NAS message includes the updated truncated parameter .
[00116] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF; или обновления усеченного параметра в соответствии с инструкцией системы управления сетью; или получения обновленного усеченного параметра, отправленного устройством доступа к сети.[00116] In an exemplary embodiment, the processing module is configured to update the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers; or updating the truncated parameter in accordance with the instructions of the network management system; or receiving an updated truncated parameter sent by the network access device.
[00117] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[00117] In an exemplary embodiment, the communication module is particularly configured to: when a terminal that uses the CIoT 5GS control plane optimization function is in a connected state, send a downlink NAS message to the terminal that uses the CIoT 5GS control plane optimization function.
[00118] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, ожидания, пока терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, перейдет в подключенное состояние; и после того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, и сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[00118] In an exemplary embodiment, the communication module is particularly configured to: when a terminal that uses a CIoT 5GS control plane optimization function is in an unconnected state, wait until the terminal that uses a CIoT 5GS control plane optimization function transitions to a connected state state; and after the terminal that uses the CIoT 5GS control plane optimization function enters the connected state, and the mobility network element and the terminal that uses the CIoT 5GS control plane optimization function activate NAS security, sending a downlink NAS message to the terminal, which uses the CIoT 5GS control plane optimization feature.
[00119] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, предписания, посредством поискового вызова терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, перейти в подключенное состояние; и после того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.[00119] In an exemplary embodiment, the communication module is particularly configured to: when a terminal that uses a CIoT 5GS control plane optimization function is in an unconnected state, instruct, by paging, the terminal that uses a CIoT 5GS control plane optimization function to go to connected state; and after the terminal that uses the CIoT 5GS optimization function of the control plane enters the connected state, and the mobility network element and the terminal that uses the CIoT 5GS optimization function of the control plane activate NAS security, sending a downlink NAS message to the terminal, which uses the CIoT 5GS control plane optimization feature.
[00120] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением команды обновления конфигурации UE или сообщением о принятии услуги.[00120] In an exemplary embodiment, the downlink NAS message is a UE configuration update command message or a service acceptance message.
[00121] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI.[00121] In an exemplary embodiment, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI.
[00122] Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00122] The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00123] В соответствии с двенадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема усеченного параметра, отправленного устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала; и модуль обработки, выполненный с возможностью выполнения вычисления целостности 5G-S-TMSI терминала на основе контекста безопасности NAS терминала, для формирования первого NAS MAC, где модуль связи дополнительно выполнен с возможностью отправки первого NAS MAC устройству доступа к сети.[00123] In accordance with the twelfth aspect, a communication device is provided that includes: a communication module configured to receive a truncated parameter sent by a network access device, where the truncated parameter is used to truncate a 5G-S-TMSI terminal; and a processing module configured to perform a 5G-S-TMSI integrity calculation of the terminal based on the terminal's NAS security context to generate a first NAS MAC, where the communication module is further configured to send the first NAS MAC to the network access device.
[00124] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема информации указания защиты и/или параметра актуальности, отправленного устройством доступа к сети, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнить защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.[00124] In an exemplary embodiment, the communication module is further configured to receive security indication information and/or a relevance parameter sent by the network access device, where the security indication information is used to instruct the network mobility control element to perform security protection with respect to the truncated parameter and the relevance parameter used to calculate the integrity of the truncated parameter.
[00125] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00125] In an exemplary embodiment, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00126] В соответствии с тринадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью: отправки усеченного параметра сетевому элементу управления мобильностью, где усеченный параметр используется для усечения 5G-S-TMSI терминала ; приема первого NAS MAC, отправленного сетевым элементом управления мобильностью, где первый NAS MAC получается путем выполнения вычисления целостности усеченного параметра; и отправки первого NAS MAC и усеченного параметра терминалу.[00126] In accordance with the thirteenth aspect, a communication device is provided that includes: a communication module configured to: send a truncated parameter to a network mobility control element, where the truncated parameter is used to truncate a 5G-S-TMSI terminal; receiving a first NAS MAC sent by the mobility management network element, where the first NAS MAC is obtained by performing an integrity calculation of the truncated parameter; and sending the first NAS MAC and the truncated parameter to the terminal.
[00127] В возможном исполнении устройство связи дополнительно включает в себя модуль обработки; модуль обработки выполнен с возможностью определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS; и модуль связи, в частности, выполнен с возможностью отправки усеченного параметра сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS.[00127] In an exemplary embodiment, the communication device further includes a processing module; the processing module is configured to determine whether the terminal supports the CIoT 5GS optimization function; and the communication module is particularly configured to send the truncated parameter to the mobility network element when the terminal supports the CIoT 5GS optimization function.
[00128] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00128] In an exemplary embodiment, the processing module is particularly configured to: if the terminal capability indication information is used to indicate that the terminal supports the CIoT 5GS optimization function, determine that the terminal supports the CIoT 5GS optimization function.
[00129] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00129] In an exemplary embodiment, the processing module is particularly configured to: if the frequency used by the terminal matches the frequency used by the CIoT device, determine that the terminal supports the CIoT 5GS optimization function.
[00130] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.[00130] In an exemplary embodiment, the processing module is particularly configured to: if the type of message sent by the terminal matches the type of message sent by the CIoT device, determine that the terminal supports the CIoT 5GS optimization function.
[00131] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема сообщения RRC восходящей линии связи, отправленного терминалом; и модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи получит сообщение RRC восходящей линии связи, отправленное терминалом, определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS.[00131] In an exemplary embodiment, the communication module is further configured to receive an uplink RRC message sent by the terminal; and the processing module is particularly configured to: after the communication module receives the uplink RRC message sent by the terminal, determine whether the terminal supports the CIoT 5GS optimization function.
[00132] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.[00132] In an exemplary embodiment, the uplink RRC message is an RRC Establishment Request message or an RRC Establishment Complete message.
[00133] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки информации указания защиты и/или параметра актуальности сетевому элементу управления мобильностью, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.[00133] In an exemplary embodiment, the communication module is further configured to send security indication information and/or a relevance parameter to the mobility network element, where the security indication information is used to instruct the mobility network element to perform security protection with respect to the truncated parameter and the relevance parameter is used to calculating the integrity of the truncated parameter.
[00134] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема сообщения запроса на повторное установление RRC, отправленного терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[00134] In an exemplary embodiment, the communication module is further configured to receive an RRC re-establishment request message sent by the terminal, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[00135] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00135] In an exemplary embodiment, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00136] В соответствии с четырнадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема первого NAS MAC и усеченного параметра, которые отправляются устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала; модуль обработки, выполненный с возможностью: выполнения вычисления целостности усеченного параметра на основе контекста безопасности NAS для формирования второго NAS MAC; и проверки первого NAS MAC на основе второго NAS MAC; и модуль хранения, выполненный с возможностью сохранения усеченного параметра, если проверка первого NAS MAC прошла успешно.[00136] In accordance with the fourteenth aspect, a communication device is provided that includes: a communication module configured to receive a first NAS MAC and a truncated parameter that are sent by a network access device, where the truncated parameter is used to truncate a 5G-S-TMSI terminal ; a processing module configured to: perform an integrity calculation of the truncated parameter based on the NAS security context to generate a second NAS MAC; and checking the first NAS MAC based on the second NAS MAC; and a storage module configured to store the truncated parameter if the verification of the first NAS MAC is successful.
[00137] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включая: сохранение посредством уровня RRC усеченного параметра.[00137] In an exemplary embodiment, the storage module is configured to store the truncated parameter, including: storing by the RRC layer the truncated parameter.
[00138] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[00138] In an exemplary embodiment, the processing module is further configured to obtain the truncated 5G-S-TMSI, including: truncating by the RRC layer of the 5G-S-TMSI terminal based on the truncated parameter to obtain the truncated 5G-S-TMSI.
[00139] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: отправку посредством уровня RRC усеченного параметра уровню NAS; усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.[00139] In an exemplary embodiment, the processing module is further configured to receive the truncated 5G-S-TMSI, including: sending, via the RRC layer, the truncated parameter to the NAS layer; truncating by the terminal's 5G-S-TMSI NAS layer based on the truncated parameter to obtain a truncated 5G-S-TMSI; and sending, via the NAS layer, the truncated 5G-S-TMSI to the RRC layer.
[00140] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включая: отправку посредством уровня RRC усеченного параметра уровню NAS; и сохранение посредством уровня NAS усеченного параметра.[00140] In an exemplary embodiment, the storage module is configured to store the truncated parameter, including: sending, via the RRC layer, the truncated parameter to the NAS layer; and storing, by the NAS layer, the truncated parameter.
[00141] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.[00141] In an exemplary embodiment, the processing module is further configured to obtain a truncated 5G-S-TMSI, including: truncating by the terminal's 5G-S-TMSI NAS layer based on the truncated parameter to obtain a truncated 5G-S-TMSI; and sending, via the NAS layer, the truncated 5G-S-TMSI to the RRC layer.
[00142] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: отправку посредством уровня NAS усеченного параметра уровню RRC; и усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.[00142] In an exemplary embodiment, the processing module is further configured to receive the truncated 5G-S-TMSI, including: sending, by the NAS layer, the truncated parameter to the RRC layer; and truncating by the RRC layer of the 5G-S-TMSI of the terminal based on the truncated parameter to obtain the truncated 5G-S-TMSI.
[00143] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки сообщения запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[00143] In an exemplary embodiment, the communication module is further configured to send an RRC re-establishment request message to the network access device, where the RRC re-establishment request message includes a truncated 5G-S-TMSI.
[00144] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00144] In an exemplary embodiment, bits one through ten in 5G-S-TMSI are used to indicate the AMF Set ID, bits eleven through sixteen in 5G-S-TMSI are used to indicate the AMF Indicator, and bits seventeen through forty-eight in 5G -S-TMSI are used to indicate 5G-TMSI. The truncated parameter includes a first truncated parameter and a second truncated parameter, the first truncated parameter is used to truncate the AMF and 5G-TMSI set ID, and the second truncated parameter is used to truncate the AMF and 5G-TMSI indicator.
[00145] В соответствии с пятнадцатым аспектом предоставляется устройство связи, которое включает в себя процессор и интерфейс связи. Процессор выполнен с возможностью выполнения инструкции компьютерной программы, так что устройство связи реализует способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.[00145] In accordance with the fifteenth aspect, a communication device is provided that includes a processor and a communication interface. The processor is configured to execute a computer program instruction such that the communication device implements a method for protecting a truncated parameter according to any embodiment provided in any of the first to seventh aspects.
[00146] Согласно шестнадцатому аспекту предоставлен считываемый компьютером носитель данных. Считываемый компьютером носитель хранит инструкцию, и когда инструкция выполняется на компьютере, компьютер получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.[00146] According to a sixteenth aspect, a computer-readable storage medium is provided. The computer-readable medium stores the instruction, and when the instruction is executed on the computer, the computer is able to implement the truncated parameter protecting method according to any embodiment provided in any of the first to seventh aspects.
[00147] Согласно семнадцатому аспекту предоставляется компьютерный программный продукт. Компьютерный программный продукт включает в себя инструкцию, и когда компьютерный программный продукт запускается на компьютере, компьютер получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.[00147] According to a seventeenth aspect, a computer program product is provided. The computer program product includes instructions, and when the computer program product is executed on a computer, the computer is enabled to implement a truncated parameter protecting method according to any embodiment provided in any of the first to seventh aspects.
[00148] Согласно восемнадцатому аспекту предоставляется микросхема. Микросхема включает в себя процессор, и когда процессор выполняет инструкцию компьютерной программы, микросхема получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению от первого аспекта до седьмого аспекта.[00148] According to the eighteenth aspect, a chip is provided. The chip includes a processor, and when the processor executes a computer program instruction, the chip is able to implement a truncated parameter protection method according to any embodiment of the first aspect to the seventh aspect.
[00149] Согласно девятнадцатому аспекту предоставляется система связи. Система связи включает в себя сетевой элемент управления мобильностью и устройство доступа к сети. Сетевой элемент управления мобильностью выполнен с возможностью выполнения способа защиты усеченного параметра в любом исполнении первого аспекта. Устройство доступа к сети выполнено с возможностью выполнения способа защиты усеченного параметра в любом исполнении третьего аспекта.[00149] According to a nineteenth aspect, a communication system is provided. The communication system includes a network mobility control element and a network access device. The mobility management network element is configured to implement the truncated parameter protecting method in any embodiment of the first aspect. The network access device is configured to implement the truncated parameter protection method in any embodiment of the third aspect.
[00150] В соответствии с двадцатым аспектом предоставляется система связи. Система связи включает в себя сетевой элемент управления мобильностью и устройство доступа к сети. Сетевой элемент управления мобильностью выполнен с возможностью выполнения способа защиты усеченного параметра согласно любому исполнению пятого аспекта. Устройство доступа к сети выполнено с возможностью выполнения способа защиты усеченного параметра согласно любому исполнению шестого аспекта. [00150] In accordance with the twentieth aspect, a communication system is provided. The communication system includes a network mobility control element and a network access device. The mobility management network element is configured to implement a truncated parameter protecting method according to any embodiment of the fifth aspect. The network access device is configured to implement the truncated parameter protection method according to any embodiment of the sixth aspect.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
[00151] Фиг. 1 представляет собой схематическую диаграмму процесса шифрования/дешифрования;[00151] FIG. 1 is a schematic diagram of the encryption/decryption process;
[00152] Фиг. 2 представляет собой схематическую диаграмму вычисления MAC передатчиком;[00152] FIG. 2 is a schematic diagram of MAC calculation by a transmitter;
[00153] Фиг. 3 представляет собой схематическую диаграмму вычисления MAC приемником;[00153] FIG. 3 is a schematic diagram of MAC calculation by a receiver;
[00154] Фиг. 4 представляет собой схематическую диаграмму процедуры конфигурации усеченных параметров согласно известной технологии;[00154] FIG. 4 is a schematic diagram of a procedure for configuring truncated parameters according to known technology;
[00155] Фиг. 5 представляет собой схематическую структурную диаграмму сети 5G в соответствии с вариантом осуществления настоящей заявки;[00155] FIG. 5 is a schematic structure diagram of a 5G network according to an embodiment of the present application;
[00156] Фиг. 6 представляет собой схематическую диаграмму стека протоколов согласно варианту осуществления настоящей заявки;[00156] FIG. 6 is a schematic diagram of a protocol stack according to an embodiment of the present application;
[00157] Фиг. Фиг. 7 представляет собой схематическую структурную диаграмму аппаратуры в соответствии с вариантом осуществления настоящей заявки;[00157] FIG. Fig. 7 is a schematic structure diagram of an apparatus according to an embodiment of the present application;
[00158] Фиг. 8 представляет собой блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;[00158] FIG. 8 is a flowchart of a method for protecting a truncated parameter according to an embodiment of the present application;
[00159] Фиг. 9 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;[00159] FIG. 9 is another flowchart of a method for protecting a truncated parameter according to an embodiment of the present application;
[00160] Фиг. 10 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;[00160] FIG. 10 is another flowchart of a method for protecting a truncated parameter according to an embodiment of the present application;
[00161] Фиг. 11 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;[00161] FIG. 11 is another flowchart of a method for protecting a truncated parameter according to an embodiment of the present application;
[00162] Фиг. 12 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;[00162] FIG. 12 is another flowchart of a method for protecting a truncated parameter according to an embodiment of the present application;
[00163] Фиг. Фиг. 13 представляет собой схематическую структурную диаграмму терминала в соответствии с вариантом осуществления настоящей заявки;[00163] FIG. Fig. 13 is a schematic structure diagram of a terminal according to an embodiment of the present application;
[00164] Фиг. Фиг. 14 представляет собой схематическую структурную диаграмму устройства доступа к сети согласно варианту осуществления настоящей заявки; и[00164] FIG. Fig. 14 is a schematic block diagram of a network access device according to an embodiment of the present application; And
[00165] Фиг. 15 представляет собой схематическую структурную диаграмму сетевого элемента управления мобильностью согласно варианту осуществления настоящей заявки. [00165] FIG. 15 is a schematic structure diagram of a mobility management network element according to an embodiment of the present application.
Описание вариантов осуществленияDescription of Embodiments
[00166] В описании настоящей заявки, если не указано иное, «/» означает «или». Например, A/B может представлять A или B. Термин «и/или» в настоящем описании описывает только отношение ассоциации для ассоциированных объектов и означает, что могут существовать три отношения. Например, A и/или B может представлять следующие три случая: Существует только A, существуют как A, так и B, и существует только B. Кроме того, «по меньшей мере один» означает один или более, а «множество» означает два или более. Такие слова, как «первый» и «второй», не ограничивают количество и последовательность выполнения, а такие слова, как «первый» и «второй», не указывают на определенную разницу.[00166] In the specification of this application, unless otherwise indicated, "/" means "or". For example, A/B may represent A or B. The term “and/or” as used herein describes only an association relationship for associated objects and means that three relationships may exist. For example, A and/or B may represent the following three cases: Only A exists, both A and B exist, and only B exists. Additionally, “at least one” means one or more, and “many” means two or more. Words such as “first” and “second” do not limit the number and sequence of execution, and words such as “first” and “second” do not indicate a specific difference.
[00167] Следует отметить, что в настоящей заявке такие слова, как «пример» или «например», используются для представления примера, иллюстрации или описания. Любой вариант осуществления или схему проектирования, которые описаны как «пример» или «например» в данной заявке, не следует интерпретировать как более предпочтительный или имеющий больше преимуществ, чем другой вариант осуществления или схема проектирования. В частности, использование таких слов, как «пример» или «например», предназначено для представления связанной концепции определенным образом.[00167] It should be noted that in this application words such as “example” or “for example” are used to provide an example, illustration or description. Any embodiment or design that is described as an “example” or “for example” in this application should not be interpreted as being preferable or having greater advantages than another embodiment or design. In particular, the use of words such as "example" or "for example" is intended to represent a related concept in a particular way.
[00168] В описаниях настоящей заявки «указание» может включать в себя прямое указание и косвенное указание или может включать в себя явное указание и неявное указание. Информация, указанная частью информации (первая информация указания, описанная ниже), упоминается как подлежащая указания информация. В конкретном процессе реализации существует множество способов указания информации, подлежащей указанию. Например, подлежащая указанию информация может быть указана непосредственно, где указана сама подлежащая указанию информация, индекс подлежащей указанию информации и т.п. В другом примере подлежащая указанию информация может быть косвенно указана посредством указания другой информации, и существует ассоциативное отношение между другой информацией и подлежащей указанию информацией. В другом примере может быть указана только часть подлежащей указанию информации, а другая часть подлежащей указанию информации уже известна или предварительно согласована. Кроме того, конкретная информация также может быть указана с использованием заранее согласованной (например, предусмотренной в протоколе) последовательности размещения различных частей информации, чтобы до некоторой степени уменьшить служебные данные указания.[00168] In the descriptions of this application, "indication" may include explicit indication and indirect indication, or may include explicit indication and implicit indication. The information indicated by the information part (the first indication information described below) is referred to as the information to be indicated. In a given implementation process, there are many ways to indicate the information to be specified. For example, the information to be specified may be indicated directly, where the information to be specified, the index of the information to be specified, etc. are indicated. In another example, information to be indicated may be indirectly indicated by indicating other information, and an association relationship exists between the other information and the information to be indicated. In another example, only part of the information to be specified may be specified, and another part of the information to be specified is already known or previously agreed upon. In addition, specific information may also be indicated using a pre-agreed (eg, protocol-defined) order of placement of various pieces of information to reduce the indication overhead to some extent.
[00169] Чтобы облегчить понимание технических решений настоящей заявки, нижеследующее сначала кратко описывает термины, используемые в настоящей заявке.[00169] To facilitate understanding of the technical solutions of the present application, the following first briefly describes the terms used in the present application.
[00170] 1. Шифрование/дешифрование[00170] 1. Encryption/Decryption
[00171] Шифрование/дешифрование защищает конфиденциальность данных во время передачи. (Поэтому шифрование/дешифрование также можно назвать защитой конфиденциальности.) Конфиденциальность означает, что фактическое содержимое не может быть просмотрено напрямую. Защита шифрованием может быть реализована путем шифрования данных с использованием ключа и алгоритма шифрования. Для конкретного способа защиты шифрованием см. соответствующие описания в разделе 8.2 в 3GPP TS 33.401 f50 или в разделе 6.4.4 в 33.501 f50. Подробности здесь повторно не приводятся.[00171] Encryption/decryption protects the confidentiality of data during transmission. (Therefore, encryption/decryption can also be called privacy protection.) Privacy means that the actual content cannot be viewed directly. Encryption protection can be implemented by encrypting data using a key and an encryption algorithm. For the specific encryption protection method, see the corresponding descriptions in section 8.2 in 3GPP TS 33.401 f50 or section 6.4.4 in 33.501 f50. The details are not repeated here.
[00172] Например, как показано на фиг. 1, процесс шифрования на передающей стороне может быть следующим: Передающая сторона может вводить параметры, такие как счетчик (count), длина (length), несущий канал (bearer) и направление (direction) в NEA, чтобы определить ключевой поток (keystream). Затем передающая сторона определяет зашифрованный текст (ciphertext) на основе ключевого потока и открытого текста (plaintext).[00172] For example, as shown in FIG. 1, the encryption process at the transmitting side can be as follows: The transmitting side can input parameters such as count, length, bearer and direction into the NEA to determine the keystream. The sending side then determines the ciphertext based on the keystream and the plaintext.
[00173] Например, как показано на фиг. 1, процесс дешифрования на принимающей стороне может быть следующим: Принимающая сторона может вводить параметры, такие как число, длина, несущий канал и направление, в NEA для определения ключевого потока. Затем принимающая сторона определяет открытый текст на основе ключевого потока и зашифрованного текста.[00173] For example, as shown in FIG. 1, the decryption process at the receiving side may be as follows: The receiving side may input parameters such as number, length, carrier and direction into the NEA to determine the key stream. The receiving party then determines the plaintext based on the key stream and the ciphertext.
[00174] 2. Защита/проверка целостности[00174] 2. Security/Integrity Check
[00175] Защита/проверка целостности используется для определения того, изменяется ли содержание сообщения во время передачи, а также может использоваться для аутентификации идентичности для определения источника сообщения. Для проверки целостности и защиты требуется код аутентификации сообщения ( message authentication code, MAC). Конкретный способ проверки целостности и защиты см. в соответствующих описаниях в разделе 8.1 проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP) TS 33.401 f50 или в разделе 6.4.3 документа 33.501 f50. Подробности здесь повторно не приводятся.[00175] Security/integrity checking is used to determine whether the content of a message changes during transmission and can also be used for identity authentication to determine the origin of the message. A message authentication code (MAC) is required to verify integrity and security. For a specific method of verifying integrity and security, see the relevant descriptions in section 8.1 of the 3rd generation partnership project (3GPP) TS 33.401 f50 or section 6.4.3 of 33.501 f50. The details are not repeated here.
[00176] MAC может использоваться для проверки того, изменяется ли содержимое сообщения во время передачи. Кроме того, MAC может использоваться для аутентификации личности, чтобы определить источник сообщения.[00176] The MAC can be used to check whether the content of a message changes during transmission. Additionally, MAC can be used for identity authentication to determine the origin of a message.
[00177] Как показано на фиг. 2, передающая сторона вводит параметры, такие как ключ (key), счетчик (count), длину (length), несущий канал (bearer), сообщение (message) и направление (direction) в развитую пакетную систему. алгоритм целостности (evolved packet system integrity algorithm, EIA), для получения кода аутентификации сообщения для целостности (message authentication code integrity, MAC-I) или NAS-MAC.[00177] As shown in FIG. 2, the transmitting side inputs parameters such as key, count, length, bearer, message and direction into the advanced packet system. integrity algorithm (evolved packet system integrity algorithm, EIA), to obtain message authentication code integrity (MAC-I) or NAS-MAC.
[00178] Как показано на фиг. 3, принимающая сторона вводит параметры, такие как ключ защиты целостности, количество, длину, несущий канал, сообщение и направление в EIA, чтобы получить ожидаемый код аутентификации сообщения для целостности (excepted message authentication code integrity, XMAC-I) или ожидаемый код аутентификации сообщения уровня без доступа (excepted non-access stratum message authentication code, XNAS-MAC).[00178] As shown in FIG. 3, the receiving side inputs parameters such as integrity key, number, length, bearer, message and direction into EIA to obtain the excluded message authentication code integrity (XMAC-I) or expected message authentication code integrity (XMAC-I). level without access (excepted non-access stratum message authentication code, XNAS-MAC).
[00179] Принимающая сторона может сравнить полученный MAC-I с XMAC-I, сформированным принимающей стороной, чтобы проверить, завершено ли сообщение. Если MAC-I совпадает с XMAC-I, принимающая сторона определяет, что проверка принятого MAC-I прошла успешно, и принимающая сторона может определить, что сообщение, отправленное передающей стороной, завершено. Если MAC-I отличается от XMAC-I, принимающая сторона может определить, что проверка полученного MAC-I не удалась, и принимающая сторона может определить, что сообщение, отправленное передающей стороной, является неполным.[00179] The receiving party may compare the received MAC-I with the XMAC-I generated by the receiving party to check whether the message is complete. If the MAC-I matches the XMAC-I, the receiving side determines that verification of the received MAC-I is successful, and the receiving side can determine that the message sent by the sending side is complete. If the MAC-I is different from XMAC-I, the receiving end may determine that verification of the received MAC-I failed, and the receiving end may determine that the message sent by the sending end is incomplete.
[00180] 3. Контекст безопасности[00180] 3. Security Context
[00181] Контекст безопасности относится к информации, которая может использоваться для реализации защиты безопасности (например, шифрования/дешифрования и/или защиты/проверки целостности) данных.[00181] Security context refers to information that can be used to implement security protection (eg, encryption/decryption and/or protection/integrity verification) of data.
[00182] Контекст безопасности может включать в себя один или несколько из следующих элементов: корневой ключ, ключ шифрования, ключ защиты целостности, определенный параметр (например, счетчик NAS), идентификатор набора ключей (key set identifier, KSI), параметры безопасности. алгоритм, индикатор безопасности (например, индикатор, указывающий, включено ли шифрование, индикатор, указывающий, включена ли защита целостности, индикатор, указывающий срок действия ключа или длину ключа) и т.п.[00182] The security context may include one or more of the following elements: a root key, an encryption key, an integrity key, a specific parameter (eg, NAS counter), a key set identifier (KSI), security parameters. algorithm, security indicator (for example, an indicator indicating whether encryption is enabled, an indicator indicating whether integrity protection is enabled, an indicator indicating the key expiration date or key length), etc.
[00183] Ключ шифрования является параметром, вводимым передающей стороной, когда передающая сторона шифрует открытый текст на основе алгоритма шифрования для формирования зашифрованного текста. Если используется способ симметричного шифрования, ключ шифрования и ключ дешифрования совпадают. Принимающая сторона может расшифровать зашифрованный текст на основе того же алгоритма шифрования и ключа шифрования. Другими словами, передающая сторона и принимающая сторона могут выполнять шифрование и дешифрование на основе одного и того же ключа.[00183] The encryption key is a parameter input by the transmitting party when the transmitting party encrypts the plaintext based on an encryption algorithm to generate the ciphertext. If a symmetric encryption method is used, the encryption key and decryption key are the same. The receiving party can decrypt the ciphertext based on the same encryption algorithm and encryption key. In other words, the sending side and the receiving side can perform encryption and decryption based on the same key.
[00184] Ключ защиты целостности является параметром, вводимым передающей стороной, когда передающая сторона выполняет защиту целостности открытого текста или зашифрованного текста на основе алгоритма защиты целостности. Принимающая сторона может выполнять на основе того же алгоритма защиты целостности и ключа защиты целостности проверку целостности данных, для которых выполняется защита целостности.[00184] The integrity protection key is a parameter input by the sending party when the sending party performs integrity protection of the plaintext or ciphertext based on the integrity protection algorithm. The receiving party can perform, based on the same integrity protection algorithm and integrity protection key, the integrity check of the data for which integrity protection is performed.
[00185] Конкретный параметр (например, счетчик NAS) является параметром, вводимым передающей стороной, когда передающая сторона выполняет защиту от повторного использования открытого текста или зашифрованного текста на основе алгоритма защиты от повторного использования. Принимающая сторона может выполнять на основе того же алгоритма защиты от повторного использования проверку против повторного использования данных, для которых выполняется защита от повторного использования.[00185] The specific parameter (eg, NAS counter) is a parameter input by the sending side when the sending side performs plaintext or ciphertext replay protection based on the replay protection algorithm. The receiving party may perform, based on the same anti-replay algorithm, a check against reuse of the data that is being protected against replay.
[00186] Алгоритм безопасности используется для защиты безопасности данных, например, алгоритм шифрования, алгоритм дешифрования и алгоритм защиты целостности.[00186] A security algorithm is used to protect the security of data, such as an encryption algorithm, a decryption algorithm, and an integrity protection algorithm.
[00187] В вариантах осуществления настоящей заявки контекст безопасности может включать в себя контекст безопасности NAS и контекст безопасности AS. Можно понять, что контекст безопасности NAS используется для защиты информации, передаваемой между терминалом и базовой сетью. Контекст безопасности AS используется для защиты информации, передаваемой между терминалом и базовой станцией.[00187] In embodiments of the present application, the security context may include a NAS security context and an AS security context. It can be understood that the NAS security context is used to protect information transmitted between the terminal and the core network. The AS security context is used to protect information transmitted between the terminal and the base station.
[00188] 4. Активация безопасности NAS[00188] 4. Activate NAS security
[00189] Активация безопасности NAS включает в себя активацию защиты целостности NAS и активацию защиты шифрованием NAS.[00189] Activating NAS security includes activating NAS integrity protection and activating NAS encryption protection.
[00190] Активация защиты целостности NAS: После активации защиты целостности NAS необходимо использовать ключ целостности NAS и алгоритм защиты целостности NAS в текущем контексте безопасности для защиты целостности последующих сообщений NAS восходящей линии связи/нисходящей линии связи. Все сообщения без защиты целостности NAS не принимаются и должны быть отброшены, за исключением некоторых специальных сообщений NAS, таких как запрос на присоединение, запрос на обновление области местоположения, запрос на обслуживание, запрос на обслуживание плоскости управления, запрос аутентификации и запрос идентификации. Например, после того, как пользовательское оборудование активирует защиту целостности NAS, каждый раз, когда пользовательское оборудование отправляет сообщение NAS восходящей линии связи, пользовательское оборудование выполняет защиту целостности сообщения NAS восходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности; каждый раз, когда пользовательское оборудование принимает сообщение NAS нисходящей линии связи, пользовательское оборудование выполняет проверку целостности сообщения NAS нисходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности. Например, после того, как сетевой элемент управления мобильностью активирует защиту целостности NAS, каждый раз, когда сетевой элемент управления мобильностью получает сообщение NAS восходящей линии связи, сетевой элемент управления мобильностью выполняет проверку целостности сообщения NAS восходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности; каждый раз, когда сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи, сетевой элемент управления мобильностью выполняет защиту целостности сообщения NAS нисходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности.[00190] Activating NAS Integrity Protection: After activating NAS integrity protection, it is necessary to use the NAS integrity key and NAS integrity protection algorithm in the current security context to protect the integrity of subsequent uplink/downlink NAS messages. All messages without NAS integrity protection are not accepted and should be discarded, with the exception of some special NAS messages such as join request, location area update request, service request, control plane service request, authentication request, and identification request. For example, after the user equipment activates NAS integrity protection, each time the user equipment sends an uplink NAS message, the user equipment performs uplink NAS message integrity protection based on the NAS integrity key and the NAS integrity protection algorithm in the current security context ; Each time the user equipment receives a downlink NAS message, the user equipment performs an integrity check of the downlink NAS message based on the NAS integrity key and the NAS integrity protection algorithm in the current security context. For example, after the mobility network element activates NAS integrity protection, each time the mobility network element receives an uplink NAS message, the mobility network element performs an integrity check of the uplink NAS message based on the NAS integrity key and the security algorithm integrity of the NAS in the current security context; Each time the mobility network element sends a downlink NAS message, the mobility network element performs integrity protection of the downlink NAS message based on the NAS integrity key and the NAS integrity protection algorithm in the current security context.
[00191] Активация защиты шифрованием NAS: После активации защиты шифрованием NAS необходимо использовать ключ шифрования NAS и алгоритм шифрования NAS в текущем контексте безопасности для защиты шифрованием последующих сообщений NAS восходящей линии связи/нисходящей линии связи. Все сообщения без защиты шифрованием NAS не принимаются и должны быть удалены. Например, после того, как пользовательское оборудование активирует защиту шифрованием NAS, каждый раз, когда пользовательское оборудование отправляет сообщение NAS восходящей линии связи, пользовательское оборудование выполняет защиту шифрованием сообщения NAS восходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности; каждый раз, когда пользовательское оборудование принимает сообщение NAS нисходящей линии связи, пользовательское оборудование расшифровывает сообщение NAS нисходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности. Например, после того как сетевой элемент управления мобильностью активирует защиту целостности NAS, каждый раз, когда сетевой элемент управления мобильностью получает сообщение NAS восходящей линии связи, пользовательское оборудование расшифровывает сообщение NAS восходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности; каждый раз, когда сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи, сетевой элемент управления мобильностью выполняет защиту шифрованием сообщения NAS нисходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности.[00191] Activating NAS encryption protection: After activating NAS encryption protection, it is necessary to use the NAS encryption key and NAS encryption algorithm in the current security context to encrypt subsequent uplink/downlink NAS messages. All messages not protected by NAS encryption are not accepted and must be deleted. For example, after the user equipment activates NAS encryption protection, each time the user equipment sends an uplink NAS message, the user equipment performs encryption protection of the uplink NAS message based on the NAS encryption key and the NAS encryption algorithm in the current security context; Each time the user equipment receives a downlink NAS message, the user equipment decrypts the downlink NAS message based on the NAS encryption key and the NAS encryption algorithm in the current security context. For example, after the mobility network element activates NAS integrity protection, each time the mobility network element receives an uplink NAS message, the user equipment decrypts the uplink NAS message based on the NAS encryption key and the NAS encryption algorithm in the current security context ; Each time the mobility network element sends a downlink NAS message, the mobility network element performs encryption protection on the downlink NAS message based on the NAS encryption key and the NAS encryption algorithm in the current security context.
[00192] 5. 5G-S-TMSI[00192] 5. 5G-S-TMSI
[00193] Глобально уникальный временный идентификатор 5-го поколения (5th generation-globally unique temporary identity, 5G-GUTI) назначается AMF терминалу.[00193] A 5th generation-globally unique temporary identity (5G-GUTI) is assigned to the AMF terminal.
[00194] Структура 5G-GUTI выглядит следующим образом: 5G-GUTI = + +<AMF region ID> +<AMF set ID> +<AMF pointer> + <5G-TMSI>.[00194] The structure of 5G-GUTI is as follows: 5G-GUTI = + +<AMF region ID> +<AMF set ID> +<AMF pointer> + <5G-TMSI>.
[00195] Мобильный код страны (mobile country code, MCC) представляет собой трехзначное десятичное число и используется для идентификации страны.[00195] The mobile country code (MCC) is a three-digit decimal number and is used to identify a country.
[00196] Код мобильной сети (mobile network Code) представляет собой 2- или 3-значное десятичное число и используется для идентификации сети оператора связи в стране.[00196] The mobile network code is a 2 or 3 digit decimal number and is used to identify a telecom operator's network in a country.
[00197] ID области AMF занимает восемь бит и используется для идентификации группы наборов AMF (set).[00197] The AMF area ID is eight bits and is used to identify a group of AMF sets (set).
[00198] ID набора AMF занимает 10 бит и используется для идентификации группы AMF. Группа AMF поддерживает один и тот же сетевой сегмент.[00198] The AMF Set ID occupies 10 bits and is used to identify the AMF group. An AMF group supports the same network segment.
[00199] Указатель AMF (pointer) занимает шесть бит и используется для идентификации AMF.[00199] The AMF pointer is six bits and is used to identify the AMF.
[00200] Временный идентификатор мобильного абонента 5-го поколения (5th generation-temporary mobile subscriber identity, 5G-TMSI) занимает 32 бита и используется для идентификации AMF.[00200] The 5th generation-temporary mobile subscriber identity (5G-TMSI) is 32 bits and is used to identify the AMF.
[00201] 5G-S-TMSI - это 48 младших битов 5G-GUTI. Структура 5G-S-TMSI выглядит следующим образом: 5G-S-TMSI =<AMF set ID> +<AMF pointer> + <5G-TMSI>.[00201] 5G-S-TMSI is the least significant 48 bits of 5G-GUTI. The structure of 5G-S-TMSI is as follows: 5G-S-TMSI =<AMF set ID> +<AMF pointer> + <5G-TMSI>.
[00202] Другими словами, 5G-S-TMSI включает в себя 48 битов, где биты с первого по десятый используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой используются для указания 5G-TMSI.[00202] In other words, the 5G-S-TMSI includes 48 bits, where bits one to ten are used to indicate the AMF set ID, bits eleven to sixteen are used to indicate the AMF indicator, and bits seventeen to forty-eight are used to 5G-TMSI instructions.
[00203] 6. Усеченный параметр[00203] 6. Truncated parameter
[00204] Этот параметр используется для усечения 5G-S-TMSI.[00204] This parameter is used to truncate the 5G-S-TMSI.
[00205] Например, усеченный параметр может включать в себя первый усеченный параметр и второй усеченный параметр. Первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI. Второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.[00205] For example, the truncated parameter may include a first truncated parameter and a second truncated parameter. The first truncated parameter is used to truncate the AMF and 5G-TMSI set IDs. The second truncate parameter is used to truncate the AMF and 5G-TMSI pointer.
[00206] Для простоты описания первый усеченный параметр обозначается как n, и второй усеченный параметр обозначается как m ниже.[00206] For ease of description, the first truncated parameter is denoted as n and the second truncated parameter is denoted as m below.
[00207] Следует отметить, что усеченный 5G-S-TMSI =<усеченный ID набора AMF> + <усеченный указатель AMF> +<усеченный 5G-TMSI> .[00207] It should be noted that truncated 5G-S-TMSI =<truncated AMF Set ID> + <truncated AMF Indicator> +<truncated 5G-TMSI> .
[00208] Усеченный ID набора AMF включает в себя последние n бит в исходном ID набора AMF.[00208] The truncated AMF set ID includes the last n bits in the original AMF set ID.
[00209] Усеченный указатель AMF включает в себя последние m бит исходного указателя AMF.[00209] The truncated AMF pointer includes the last m bits of the original AMF pointer.
[00210] Усеченный 5G-TMSI включает в себя последние 40-n-m бит в исходном 5G-TMSI.[00210] The truncated 5G-TMSI includes the last 40-n-m bits in the original 5G-TMSI.
[00211] Например, 5G-TMSI=<0000001010 (10 бит)><000110 (6 бит)><000100... 10 (32 бита)>. Предполагая, что n=5 и m=3, усеченный 5G-TMSI=<01010 (5 бит)><110 (3 бита)><000100... 10 (32 бита)>.[00211] For example, 5G-TMSI=<0000001010 (10 bits)><000110 (6 bits)><000100... 10 (32 bits)>. Assuming n=5 and m=3, the truncated 5G-TMSI=<01010 (5 bits)><110 (3 bits)><000100... 10 (32 bits)>.
[00212] Следует отметить, что после получения усеченного 5G-TMSI устройство доступа к сети может восстановить усеченный 5G-TMSI до полного 5G-TMSI путем добавления нулей.[00212] It should be noted that after receiving a truncated 5G-TMSI, the network access device can restore the truncated 5G-TMSI to the full 5G-TMSI by adding zeros.
[00213] Вышеизложенное описывает термины, используемые в вариантах осуществления настоящей заявки, и подробности далее повторно не описываются.[00213] The foregoing describes the terms used in the embodiments of the present application, and the details are not further described again.
[00214] Терминалы CIoT (такие как счетчики электроэнергии), которые не часто передают небольшие пакеты, требуют долговечности батареи. Например, для этого типа терминалов требуется, чтобы аккумулятор можно было использовать в течение 10 лет. Чтобы удовлетворить требования к долговечности батареи, функция оптимизации CIoT 5GS разработана в технологии 5G. Функция, по которой терминал периодически отправляет отчеты об измерениях, удаляется с помощью функции оптимизации CIoT 5GS. Следовательно, исходная базовая станция не может получить данные сигнала, чтобы указать терминалу выполнить процедуру передачи обслуживания. В этом случае терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, не может быть передан во время движения на другую базовую станцию с помощью процедуры передачи обслуживания, как обычный терминал. Поэтому для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, вводится процедура повторного установления, чтобы обеспечить непрерывность сеанса во время движения терминала.[00214] CIoT terminals (such as electricity meters) that do not frequently transmit small packets require battery longevity. For example, this type of terminal requires that the battery can be used for 10 years. To meet battery life requirements, CIoT 5GS optimization function is designed in 5G technology. The feature where the terminal periodically sends measurement reports is removed using the CIoT 5GS optimization feature. Therefore, the source base station cannot receive signal data to instruct the terminal to perform the handover procedure. In this case, a terminal that uses the CIoT 5GS control plane optimization function cannot be transferred while moving to another base station through a handover procedure like a normal terminal. Therefore, for a terminal that uses the CIoT 5GS control plane optimization function, a re-establishment procedure is introduced to ensure session continuity while the terminal is moving.
[00215] В процедуре повторного установления сообщение RRC, о котором сообщает терминал, должно нести 5G-S-TMSI терминала, чтобы устройство доступа к сети могло определить конкретный AMF на основе 5G-S-TMSI, а AMF мог найти контекст безопасности терминала на основе 5G-S-TMSI. Однако, поскольку сообщение RRC имеет ограниченную длину, а длина 5G-S-TMSI превышает максимальную длину сообщения RRC, сообщение RRC не может нести полный 5G-S-TMSI. Следовательно, терминал должен усекать 5G-S-TMSI, используя усеченный параметр, чтобы сообщение RRC несло усеченный 5G-S-TMSI.[00215] In the re-establishment procedure, the RRC message reported by the terminal must carry the terminal's 5G-S-TMSI so that the network access device can determine a specific AMF based on the 5G-S-TMSI and the AMF can find the security context of the terminal based on 5G-S-TMSI. However, since the RRC message has a limited length and the length of the 5G-S-TMSI exceeds the maximum length of the RRC message, the RRC message cannot carry the full 5G-S-TMSI. Therefore, the terminal must truncate the 5G-S-TMSI using the truncated parameter so that the RRC message carries the truncated 5G-S-TMSI.
[00216] Как показано на фиг. 4, согласно известной технологии процедура, в которой устройство доступа к сети конфигурирует усеченный параметр для терминала, включает в себя следующие этапы.[00216] As shown in FIG. 4, according to the known technology, a procedure in which a network access device configures a truncated parameter for a terminal includes the following steps.
[00217] S10. Устройство доступа к сети предварительно конфигурирует m и n.[00217] S10. The network access device pre-configures m and n.
[00218] S11. Терминал и сторона сети выполняют процедуру регистрации.[00218] S11. The terminal and the network side perform the registration procedure.
[00219] S12. Устройство доступа к сети отправляет сообщение реконфигурации RRC терминалу, где сообщение реконфигурации RRC включает в себя m и n.[00219] S12. The network access device sends an RRC reconfiguration message to the terminal, where the RRC reconfiguration message includes m and n.
[00220] S13. Терминал сохраняет m и n.[00220] S13. The terminal stores m and n.
[00221] S14. Терминал получает усеченный 5G-S-TMSI на основе m, n и 5G-S-TMSI.[00221] S14. The terminal receives a truncated 5G-S-TMSI based on m, n and 5G-S-TMSI.
[00222] Необязательно, условие для выполнения этапа S14 терминалом может заключаться в том, что инициирована процедура повторного установления.[00222] Optionally, a condition for the terminal to execute step S14 may be that a re-establishment procedure has been initiated.
[00223] S15. Терминал отправляет сообщение запроса на повторное установление RRC в устройство доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.[00223] S15. The terminal sends an RRC re-establishment request message to the network access device, where the RRC re-establishment request message includes the truncated 5G-S-TMSI.
[00224] Следует отметить, что сообщение запроса на повторное установление RRC может нести максимум 67 битов (bit) информации. По меньшей мере 27 битов в сообщении запроса на повторное установление RRC должны быть зарезервированы для параметров, отличных от 5G-S-TMSI. Следовательно, усеченный 5G-S-TMSI, передаваемый в сообщении запроса на повторное установление RRC, не может превышать 40 бит.[00224] It should be noted that the RRC re-establishment request message can carry a maximum of 67 bits of information. At least 27 bits in the RRC re-establishment request message shall be reserved for parameters other than 5G-S-TMSI. Therefore, the truncated 5G-S-TMSI carried in the RRC re-establishment request message cannot exceed 40 bits.
[00225] S16. Устройство доступа к сети восстанавливает 5G-S-TMSI на основе m, n и усеченного 5G-S-TMSI.[00225] S16. The network access device reconstructs the 5G-S-TMSI based on m, n and the truncated 5G-S-TMSI.
[00226] В процедуре, показанной на фиг. 4 контекст безопасности AS не устанавливается между устройством доступа к сети и терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, защита безопасности AS не выполняется для сообщения RRC, отправленного устройством доступа к сети терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, усеченный параметр, передаваемый в сообщении RRC, имеет риск подделки злоумышленником.[00226] In the procedure shown in FIG. 4, the AS security context is not established between the network access device and the terminal that uses the CIoT 5GS control plane optimization function. Therefore, AS security protection is not performed for the RRC message sent by the network access device to the terminal that uses the control plane CIoT 5GS optimization function. Therefore, a truncated parameter sent in an RRC message is at risk of being forged by an attacker.
[00227] Чтобы снизить риск безопасности усеченного параметра в процессе передачи, варианты осуществления настоящей заявки предоставляют способ защиты усеченного параметра и устройства. Конкретное содержание способа и устройства см. в следующих описаниях.[00227] To reduce the security risk of a truncated parameter during transmission, embodiments of the present application provide a method for protecting the truncated parameter and device. For the specific content of the method and device, see the following descriptions.
[00228] Технические решения, представленные в вариантах осуществления настоящей заявки, могут применяться к различным системам связи, например, системе связи 5G, системе будущего развития или множеству конвергентных систем связи. Технические решения, представленные в настоящей заявке, могут быть применены к множеству сценариев приложений, например, межмашинному взаимодействию (machine to machine, M2M), макро-микросвязи, усовершенствованной мобильной широкополосной связи (enhanced mobile broadband, eMBB), сверхнадежной связи с малой задержкой (ultra reliable & low latency communication, uRLLC) и массовой связи машинного типа (massive machine type communication, mMTC). Эти сценарии могут включать в себя, помимо прочего, сценарий связи между устройствами связи, сценарий связи между сетевыми устройствами, сценарий связи между сетевым устройством и устройством связи и т.п. Далее приведены описания с использованием примера, в котором технические решения применяются к сценарию, в котором сетевое устройство взаимодействует с терминалом.[00228] The technical solutions presented in the embodiments of the present application can be applied to various communication systems, for example, a 5G communication system, a future development system, or a variety of converged communication systems. The technical solutions presented in this application can be applied to a variety of application scenarios, such as machine-to-machine (M2M), macro-micro communications, enhanced mobile broadband (eMBB), ultra-reliable low-latency communications ( ultra reliable & low latency communication (uRLLC) and massive machine type communication (mMTC). These scenarios may include, but are not limited to, a communication scenario between communication devices, a communication scenario between network devices, a communication scenario between a network device and a communication device, and the like. The following are descriptions using an example in which technical solutions are applied to a scenario in which a network device communicates with a terminal.
[00229] Кроме того, сетевая архитектура и сценарий обслуживания, описанные в вариантах осуществления настоящей заявки, предназначены для более четкого описания технических решений в вариантах осуществления настоящей заявки и не налагают ограничения на технические решения, предусмотренные в вариантах осуществления настоящего изобретения. Специалист в данной области техники может узнать, что по мере развития сетевых архитектур и появления новых сценариев обслуживания технические решения, представленные в вариантах осуществления настоящей заявки, также применимы к аналогичным техническим проблемам.[00229] In addition, the network architecture and service scenario described in the embodiments of the present application are intended to more clearly describe the technical solutions in the embodiments of the present application and do not impose limitations on the technical solutions provided in the embodiments of the present invention. One skilled in the art will recognize that as network architectures evolve and new service scenarios emerge, the technical solutions presented in the embodiments of this application are also applicable to similar technical problems.
[00230] Фиг. 5 показана архитектура сети 5G, к которой применимы технические решения, представленные в вариантах осуществления настоящей заявки. Сеть 5G может включать в себя терминал, сеть радиодоступа (radio access network, RAN) или сеть доступа (access network, AN) (где RAN и AN совместно именуются (R)AN ниже), базовая сеть (core network, CN) и сеть передачи данных (data network, DN).[00230] FIG. 5 shows a 5G network architecture to which the technical solutions presented in the embodiments of the present application are applicable. A 5G network may include a terminal, a radio access network (RAN) or an access network (AN) (where RAN and AN are collectively referred to as (R)AN below), a core network (CN), and a data transmission (data network, DN).
[00231] Терминал может иметь функцию беспроводного приемопередатчика. Терминал может иметь разные названия, например, пользовательское оборудование (user equipment, UE), терминал доступа, терминальный блок, терминальная станция, мобильная станция, мобильная консоль, удаленная станция, удаленный терминал, мобильное устройство, устройство беспроводной связи, терминальный агент или терминальное устройство. Терминал может быть развернут на суше, включая внутреннее устройство, наружное устройство, портативное устройство или устройство, установленное на транспортном средстве, или может быть развернут на поверхности воды (например, на корабле), или может быть развернут в воздухе (например, на самолете, воздушном шаре или спутнике). Терминал включает в себя портативное устройство, устройство, устанавливаемое на транспортном средстве, носимое устройство или вычислительное устройство, которое имеет функцию беспроводной связи. Например, терминал может быть мобильным телефоном (mobile phone), планшетным компьютером или компьютером, имеющим функцию беспроводного приемопередатчика. В качестве альтернативы терминальное устройство может быть терминальным устройством виртуальной реальности (virtual reality, VR), терминальным устройством дополненной реальности (AR), беспроводным терминалом в промышленном управлении, беспроводным терминалом в автономном вождении, беспроводным терминалом в телемедицине, беспроводным терминалом в интеллектуальной сети, беспроводным терминалом в умном городе (smart city), беспроводным терминалом в умном доме (smart home) и т.п. В вариантах осуществления настоящей заявки устройством для реализации функции терминала может быть терминал или может быть устройство, которое может поддерживать терминал при реализации функции, например, микросхемная система. В вариантах осуществления настоящей заявки микросхемная система может включать в себя микросхему или может включать в себя микросхему и другой дискретный компонент. В вариантах осуществления настоящей заявки пример, в котором устройством для реализации функции терминала является терминал, используется для описания технических решений, предусмотренных в вариантах осуществления настоящей заявки.[00231] The terminal may have a wireless transceiver function. A terminal may have different names, such as user equipment (UE), access terminal, terminal unit, terminal station, mobile station, mobile console, remote station, remote terminal, mobile device, wireless device, terminal agent, or terminal device. . The terminal can be deployed on land, including an indoor device, an outdoor device, a portable device or a vehicle-mounted device, or can be deployed on the surface of water (for example, on a ship), or can be deployed in the air (for example, on an airplane, balloon or satellite). A terminal includes a handheld device, a vehicle-mounted device, a wearable device, or a computing device that has a wireless communication function. For example, the terminal may be a mobile phone, a tablet computer, or a computer having a wireless transceiver function. Alternatively, the terminal device may be a virtual reality (VR) terminal device, an augmented reality (AR) terminal device, a wireless terminal in industrial control, a wireless terminal in autonomous driving, a wireless terminal in telemedicine, a wireless terminal in smart network, a wireless a terminal in a smart city, a wireless terminal in a smart home, etc. In embodiments of the present application, the device for implementing the terminal function may be a terminal, or may be a device that can support the terminal in implementing the function, such as a chip system. In embodiments of the present application, the chip system may include a chip, or may include a chip and other discrete component. In the embodiments of the present application, an example in which the device for implementing the terminal function is a terminal is used to describe the technical solutions provided in the embodiments of the present application.
[00232] В вариантах осуществления настоящей заявки терминал может быть терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Терминал, который использует функцию оптимизации CIoT 5GS, передает данные абонента восходящей линии связи и нисходящей линии связи между терминалом и SMF, используя полезную нагрузку (payload) сообщения NAS, без необходимости устанавливать сеанс PDU для соединения плоскости пользователя. Терминал, который использует функцию оптимизации CIoT 5GS, и AMF обеспечивают защиту целостности и шифрование данных абонента с использованием контекста безопасности NAS.[00232] In embodiments of the present application, the terminal may be a terminal that uses the CIoT 5GS control plane optimization function. A terminal that uses the CIoT 5GS optimization feature transmits uplink and downlink subscriber data between the terminal and the SMF using the NAS message payload, without the need to establish a PDU session for the user plane connection. The terminal, which uses the CIoT 5GS optimization feature, and the AMF provide integrity protection and encryption of subscriber data using the NAS security context.
[00233] Следует отметить, что оптимизация плоскости управления CIoT 5GS также может обозначаться как оптимизация плоскости управления CIoT 5GS. В вариантах осуществления настоящей заявки это не ограничено.[00233] It should be noted that CIoT 5GS control plane optimization may also be referred to as CIoT 5GS control plane optimization. In embodiments of the present application this is not limited.
[00234] Устройство доступа к сети также может упоминаться как базовая станция. Могут быть базовые станции в различных формах, например, макробазовая станция, микробазовая станция (также называемая малой сотой), ретрансляционная станция и точка доступа. В частности, базовая станция может быть точкой доступа (access point, AP) в беспроводной локальной сети (Wireless Local Area Network, WLAN), базовой приемопередающей станцией (Base Transceiver Station, BTS) в глобальной системе мобильной связи (Global System for Mobile Communications, GSM) или множественном доступе с кодовым разделением каналов (Code Division Multiple Access, CDMA), NodeB (NodeB, NB) в широкополосном множественном доступе с кодовым разделением каналов (Wideband Code Division Multiple Access, WCDMA), eNB, ретрансляционной станцией, точкой доступа, устройством, устанавливаемым на транспортном средстве, или носимым устройством в LTE, узлом NodeB следующего поколения (the next generation node B, gNB) в будущей сети 5G, базовой станцией в будущей развитой наземной мобильной сети общего пользования (public land mobile network, PLMN) и т.п.[00234] A network access device may also be referred to as a base station. There may be base stations in various forms, such as macro base station, micro base station (also called small cell), relay station and access point. In particular, the base station can be an access point (AP) in a wireless local area network (WLAN), a base transceiver station (BTS) in the Global System for Mobile Communications, GSM) or Code Division Multiple Access (CDMA), NodeB (NodeB, NB) in Wideband Code Division Multiple Access (WCDMA), eNB, relay station, access point, a vehicle-mounted or wearable device in LTE, a next generation NodeB (gNB) in a future 5G network, a base station in a future public land mobile network (PLMN), and etc.
[00235] Базовая станция обычно включает в себя блок основной полосы частот (baseband unit, BBU), удаленный блок радиосвязи (remote radio unit, RRU), антенну и фидер, используемый для соединения RRU и антенны. BBU сконфигурирован так, чтобы отвечать за модуляцию сигнала. RRU сконфигурирован так, чтобы отвечать за обработку радиочастот. Антенна сконфигурирована так, чтобы отвечать за преобразование между пилотной волной в кабеле и пространственной волной в воздухе. С одной стороны, распределенная базовая станция значительно сокращает длину фидера между RRU и антенной, тем самым уменьшая потери сигнала и снижая стоимость фидера. С другой стороны, RRU и антенна относительно малы и могут быть установлены в любом месте, что делает планирование сети более гибким. RRU может быть размещен удаленно. Кроме того, все BBU могут быть централизованы и размещены в центральном офисе (central office, CO). Таким централизованным способом можно значительно сократить количество аппаратных базовых станций, снизить энергопотребление вспомогательных устройств, особенно кондиционеров, и значительно сократить выбросы углекислого газа. Кроме того, после интеграции распределенных BBU в пул базовых полос BBU можно управлять и планировать BBU унифицированным образом, а ресурсы можно распределять более гибко. В этом режиме все физические базовые станции превращаются в виртуальные базовые станции. Все виртуальные базовые станции обмениваются информацией, такой как данные, отправленные и полученные пользователями, и качеством канала в пуле основной полосы частот BBU, и взаимодействуют друг с другом для реализации совместного планирования.[00235] A base station typically includes a baseband unit (BBU), a remote radio unit (RRU), an antenna, and a feeder used to connect the RRU and the antenna. The BBU is configured to be responsible for signal modulation. The RRU is configured to be responsible for RF processing. The antenna is configured to be responsible for the conversion between the pilot wave in the cable and the sky wave in the air. On the one hand, a distributed base station significantly reduces the feeder length between the RRU and the antenna, thereby reducing signal loss and reducing feeder cost. On the other hand, the RRU and antenna are relatively small and can be installed anywhere, making network planning more flexible. The RRU can be placed remotely. In addition, all BBUs can be centralized and located in the central office (CO). In this centralized manner, the number of hardware base stations can be significantly reduced, the power consumption of auxiliary devices, especially air conditioners, can be reduced, and carbon dioxide emissions can be significantly reduced. In addition, once distributed BBUs are integrated into the BBU baseband pool, BBUs can be managed and scheduled in a unified manner, and resources can be allocated more flexibly. In this mode, all physical base stations turn into virtual base stations. All virtual base stations exchange information such as data sent and received by users and channel quality in the BBU baseband pool, and cooperate with each other to realize joint scheduling.
[00236] В некоторых развертываниях базовая станция может включать в себя централизованное устройство (centralized unit, CU) и распределенное устройство (distributed unit, DU). Базовая станция может дополнительно включать в себя активный антенный блок (active antenna unit, AAU). CU реализует некоторые функции базовой станции, а DU - некоторые функции базовой станции. Например, CU отвечает за обработку протокола и услуги не в реальном времени, а также реализует функции уровня RRC и уровня протокола конвергенции пакетных данных (packet data convergence protocol, PDCP). DU отвечает за обработку протокола физического уровня и услуги в реальном времени, а также реализует функции уровня управления радиоканалом (radio link control, сокращенно RLC), уровня управления доступом к среде (media access control, MAC) и физический (physical, PHY) уровень. AAU реализует некоторые функции обработки физического уровня, обработку радиочастот и функцию, связанную с активной антенной. Информация на уровне RRC в конечном итоге становится информацией на уровне PHY или преобразуется из информации на уровне PHY. Следовательно, в этой архитектуре сигнализация более высокого уровня, например сигнализация RRC или сигнализация PDCP, также может рассматриваться как передаваемая DU или посылаемая DU и AAU. Можно понять, что в вариантах осуществления настоящей заявки устройство доступа к сети может быть устройством, включающим в себя один или более из узлов CU, узла DU и узла AAU. Кроме того, CU может быть классифицирован как сетевое устройство в RAN, или CU может быть классифицирован как сетевое устройство в базовой сети (core network, CN). Это не ограничено здесь.[00236] In some deployments, a base station may include a centralized unit (CU) and a distributed unit (DU). The base station may further include an active antenna unit (AAU). The CU implements some base station functions and the DU implements some base station functions. For example, the CU is responsible for non-real-time protocol and service processing, and also implements functions of the RRC layer and the packet data convergence protocol (PDCP) layer. The DU is responsible for processing the physical layer protocol and real-time services, and also implements the functions of the radio link control (radio link control, abbreviated as RLC), media access control (MAC) layer, and physical (PHY) layer. The AAU implements some physical layer processing functions, RF processing, and an active antenna related function. Information at the RRC layer eventually becomes information at the PHY layer or is converted from information at the PHY layer. Therefore, in this architecture, higher layer signaling, such as RRC signaling or PDCP signaling, can also be considered as being transmitted by the DU or sent by the DU and the AAU. It can be understood that in embodiments of the present application, the network access device may be a device including one or more of a CU node, a DU node, and an AAU node. In addition, the CU may be classified as a network device in the RAN, or the CU may be classified as a network device in the core network (CN). It's not limited here.
[00237] В возможном исполнении для базовой станции плоскость управления (control plane, CP) и плоскость пользователя (user plane, UP) CU могут быть дополнительно разделены и реализованы с использованием разных объектов. Другими словами, CU можно разделить на CU-CP и CU-UP.[00237] In a possible base station design, the control plane (CP) and user plane (UP) of the CU may be further separated and implemented using different entities. In other words, CU can be divided into CU-CP and CU-UP.
[00238] Базовая сеть включает в себя множество элементов базовой сети (или называемых сетевыми элементами сетевой функции), например сетевой элемент функции управления доступом и мобильностью (access and mobility management function, AMF), функцию управления сеансом (session management function, SMF) сетевой элемент, сетевой элемент функции управления политикой (policy control function, PCF), сетевой элемент функции плоскости пользователя (user plane function, UPF), сетевой элемент функции приложения (application function), сетевой элемент функции сервера аутентификации (authentication server function, AUSF) и сетевой элемент унифицированного управления данными (unified data management, UDM).[00238] The core network includes a plurality of core network elements (or referred to as network function network elements), such as an access and mobility management function (AMF) network element, a session management function (SMF) network element element, policy control function (PCF) network element, user plane function (UPF) network element, application function network element (authentication server function (AUSF) network element), and unified data management (UDM) network element.
[00239] Кроме того, базовая сеть может дополнительно включать в себя некоторые сетевые элементы, не показанные на фиг. 5, например, сетевой элемент функции привязки безопасности (security anchor function, SEAF) и хранилище учетных данных аутентификации и функция обработки (authentication credential repository and processing function, ARPF). Детали не описаны здесь в вариантах осуществления настоящей заявки.[00239] In addition, the core network may further include some network elements not shown in FIG. 5, for example, the security anchor function (SEAF) network element and the authentication credential repository and processing function (ARPF). The details are not described herein in the embodiments of the present application.
[00240] Сетевой элемент AMF в основном отвечает за обработку управления мобильностью, например, такие функции, как управление доступом, управление мобильностью, присоединение и отсоединение, а также выбор SMF. Когда сетевой элемент AMF предоставляет услугу для сеанса в терминале, сетевой элемент AMF предоставляет ресурс хранения плоскости управления для сеанса для хранения идентификатора сеанса, идентификатора SMF, связанного с идентификатором сеанса, и т.п.[00240] The AMF network element is primarily responsible for mobility management processing, for example, functions such as access control, mobility management, attach and detach, and SMF selection. When an AMF network element provides a service for a session at a terminal, the AMF network element provides a control plane storage resource for the session to store a session identifier, an SMF identifier associated with the session identifier, and the like.
[00241] Терминал взаимодействует с AMF, используя интерфейс следующего поколения (Next Generation, N) 1 (сокращенно N1), устройство RAN взаимодействует с AMF, используя интерфейс N2 (сокращенно N2), устройство RAN взаимодействует с UPF с помощью интерфейса N3 (сокращенно N3), а UPF связывается с DN с помощью интерфейса N6 (сокращенно N6).[00241] The terminal communicates with the AMF using the Next Generation (N) 1 interface, the RAN device communicates with the AMF using the N2 interface, the RAN device communicates with the UPF using the N3 interface ), and the UPF communicates with the DN using the N6 interface (N6 for short).
[00242] Сетевые элементы плоскости управления, такие как AMF, SMF, UDM, AUSF или PCF, также могут взаимодействовать друг с другом с помощью сервисно-ориентированных интерфейсов. Например, как показано на фиг. 5, сервис-ориентированный интерфейс, предоставляемый извне AMF, может быть Namf, сервис-ориентированный интерфейс, внешне предоставляемый SMF, может быть Nsmf, сервис-ориентированный интерфейс, внешне предоставляемый UDM, может быть Nudm, сервис-ориентированный интерфейс, внешний обеспечиваемый PCF, может быть Npcf, а сервисно-ориентированный интерфейс, предоставляемый извне AUSF, может быть Nausf. Подробности здесь не описаны.[00242] Control plane network elements, such as AMF, SMF, UDM, AUSF, or PCF, can also communicate with each other using service-oriented interfaces. For example, as shown in FIG. 5, service-oriented interface externally provided by AMF, may be Namf, service-oriented interface externally provided by SMF, may be Nsmf, service-oriented interface externally provided by UDM, may be Nudm, service-oriented interface externally provided by PCF, could be Npcf, and the service-oriented interface exposed externally by AUSF could be Nausf. The details are not described here.
[00243] Фиг. 6 представляет собой схематическую диаграмму стека протоколов согласно варианту осуществления настоящей заявки. Как показано на фиг. 6, стек протоколов терминала включает в себя, по меньшей мере, уровень отсутствия доступа, уровень RRC, уровень протокола конвергенции пакетных данных (packet data convergence protocol, PDCP), уровень управления радиоканалом (radio link control, RLC), уровень управления доступом к среде (media access control, MAC) и физический уровень (PHY-уровень). Уровень RRC, уровень PDCP, уровень RLC, уровень MAC и уровень PHY принадлежат к уровню с доступом.[00243] FIG. 6 is a schematic diagram of a protocol stack according to an embodiment of the present application. As shown in FIG. 6, the terminal protocol stack includes at least a non-access layer, an RRC layer, a packet data convergence protocol (PDCP) layer, a radio link control (RLC) layer, and a media access control layer. (media access control, MAC) and physical layer (PHY layer). The RRC layer, PDCP layer, RLC layer, MAC layer and PHY layer belong to the access layer.
[00244] Уровень без доступа представляет собой функциональный уровень между терминалом и базовой сетью и используется для поддержки сигнализации и передачи данных между терминалом и сетевым элементом (например, сетевым элементом управления мобильностью) базовой сети.[00244] The non-access layer is a functional layer between the terminal and the core network and is used to support signaling and data transmission between the terminal and the network element (eg, mobility management network element) of the core network.
[00245] Уровень RRC используется для поддержки таких функций, как управление радиоресурсами и управление соединением RRC.[00245] The RRC layer is used to support functions such as radio resource management and RRC connection management.
[00246] Для определений и функций других уровней протокола, таких как уровень PDCP и уровень RLC, обратитесь к описаниям в известной технологии. Подробности здесь не описаны.[00246] For definitions and functions of other protocol layers, such as the PDCP layer and the RLC layer, refer to the descriptions in the prior art. The details are not described here.
[00247] Необязательно, все устройства, упомянутые в вариантах осуществления настоящей заявки, такие как терминал, сетевой элемент управления мобильностью и устройство доступа к сети, могут быть реализованы устройством, показанным на фиг. 7.[00247] Optionally, all of the devices mentioned in the embodiments of the present application, such as a terminal, a mobility network element, and a network access device, may be implemented by the device shown in FIG. 7.
[00248] Как показано на фиг. 7, устройство 100 включает в себя по меньшей мере один процессор 101, линию 102 связи, память 103 и по меньшей мере один интерфейс 104 связи.[00248] As shown in FIG. 7,
[00249] Процессор 101 может быть центральным процессором общего назначения (central processing unit, CPU), микропроцессором, специализированной интегральной схемой (application-specific integrated circuit, ASIC) или одной или несколькими интегральными схемами, выполненными с возможностью управления выполнением программ решений настоящей заявки.[00249] The
[00250] Линия 102 связи выполнена с возможностью передачи информации между вышеупомянутыми компонентами.[00250]
[00251] Интерфейс 104 связи выполнен с возможностью связи с другим устройством или сетью связи, такой как Ethernet, сетью радиодоступа (radio access network, RAN) или беспроводной локальной сетью (wireless local area networks, WLAN) через любое устройство. например трансивер.[00251]
[00252] Память 103 может быть постоянной памятью (read-only memory, ROM) или другим типом статического запоминающего устройства, которое может хранить статическую информацию и инструкции, оперативной памятью (random access memory, RAM) или другим типом динамического запоминающего устройства, которое может хранить информацию и инструкции, или может быть электрически стираемой программируемой постоянной памятью (electrically erasable programmable read-only memory, EEPROM), постоянной памятью на компакт-диске (compact disc read-only memory, CD-ROM) или другим накопителем на компакт-дисках, накопителем на оптических дисках (включая компакт-диск, лазерный диск, оптический диск, цифровой универсальный диск, оптический диск Blu-ray и т.п.), носителем данных на магнитном диске или другим магнитным запоминающим устройством, или любым другим носителем, который можно использовать для переноса или хранения программного кода в форме инструкции или структуры данных и к которому может получить доступ компьютер. Однако память этим не ограничивается. Память может существовать независимо и связана с процессором через линию 102 связи. Альтернативно, память может быть интегрирована с процессором.[00252]
[00253] Память 103 выполнена с возможностью сохранения исполняемой компьютером инструкции для выполнения решений настоящей заявки, а процессор 101 управляет выполнением исполняемой компьютером инструкции. Процессор 101 выполнен с возможностью выполнения исполняемой компьютером инструкции, хранящейся в памяти 103, для реализации технических решений, предусмотренных в вариантах осуществления настоящей заявки.[00253] The
[00254] Необязательно исполняемая вычислительная инструкция в вариантах осуществления настоящей заявки также может упоминаться как программный код приложения. Это конкретно не ограничено в вариантах осуществления настоящей заявки.[00254] An optionally executable computing instruction in embodiments of the present application may also be referred to as application program code. This is not particularly limited in embodiments of the present application.
[00255] Во время конкретной реализации, в варианте осуществления процессор 101 может включать в себя один или несколько процессоров (CPU), например, CPU 0 и CPU 1 на фиг. 7.[00255] During a particular implementation, in an embodiment,
[00256] Во время конкретной реализации в варианте осуществления устройство 100 может включать в себя множество процессоров, например, процессор 101 и процессор 107 на фиг. 7. Каждый из процессоров может быть одноядерным (однопроцессорным) процессором или многоядерным (многопроцессорным) процессором. Процессор здесь может быть одним или несколькими устройствами, схемами и/или процессорными ядрами, выполненными с возможностью обработки данных (например, инструкции компьютерной программы).[00256] During a particular implementation in an embodiment,
[00257] Во время конкретной реализации в варианте осуществления устройство 100 может дополнительно включать в себя устройство 105 вывода и устройство 106 ввода. Устройство 105 вывода взаимодействует с процессором 101 и может отображать информацию множеством способов. Например, устройство 105 вывода может быть жидкокристаллическим дисплеем (liquid crystal display, LCD), устройством отображения на светоизлучающих диодах (light emitting diode, LED), устройством отображения на электронно-лучевой трубке (cathode ray tube, CRT) или проектором (projector). Устройство 106 ввода связывается с процессором 101 и может принимать ввод от пользователя множеством способов. Например, устройство 106 ввода может быть мышью, клавиатурой, устройством с сенсорным экраном или сенсорным устройством.[00257] During a particular implementation in an embodiment,
[00258] Ниже подробно описаны технические решения, представленные в настоящей заявке, со ссылкой на прилагаемые чертежи настоящего описания.[00258] The technical solutions presented in this application are described in detail below with reference to the accompanying drawings of the present specification.
[00259] Чтобы снизить риск безопасности усеченного параметра в процессе передачи, настоящая заявка предоставляет следующие три варианта осуществления.[00259] To reduce the security risk of a truncated parameter during transmission, the present application provides the following three embodiments.
[00260] Вариант осуществления 1 и вариант осуществления 3 могут применяться к сценарию, в котором терминал осуществляет доступ к сети, а вариант осуществления 2 применяется к сценарию, в котором AMF обновляет усеченный параметр для терминала, обслуживаемого AMF. Следует отметить, что технические признаки, включенные в следующие три варианта осуществления, относятся друг к другу, и эти три варианта осуществления могут быть объединены друг с другом. Например, когда терминал X, который использует функцию оптимизации CIoT 5GS плоскости управления, зарегистрирован в сети, выполнение решения в варианте осуществления 1 может быть инициировано для безопасного получения усеченного параметра. Впоследствии AMF на стороне сети также активно обновляет усеченный параметр терминала X в соответствии со способом, описанным в варианте осуществления 2. [00260]
Вариант 1 осуществления: Option 1:
[00261] Фиг. 8 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.[00261] FIG. 8 shows a method for protecting a truncated parameter according to an embodiment of the present application. The method includes the following steps.
[00262] S101. Сетевой элемент управления мобильностью определяет, соответствует ли терминал, осуществляющий доступ к сети, предварительно заданному условию.[00262] S101. The network mobility control element determines whether a terminal accessing the network meets a predetermined condition.
[00263] В сети 5G сетевым элементом управления мобильностью может быть AMF. В будущей развитой системе сетевым элементом управления мобильностью может быть оконечная точка безопасности NAS, аналогичная AMF. Здесь представлено общее описание, а подробности ниже не описываются.[00263] In a 5G network, the mobility management network element may be an AMF. In a future mature system, the network mobility management element could be a NAS security endpoint similar to an AMF. This is a general description and is not covered in detail below.
[00264] В этом варианте осуществления настоящей заявки предварительно заданное условие включает в себя, по меньшей мере, то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[00264] In this embodiment of the present application, the predetermined condition includes at least that the terminal uses a CIoT 5GS control plane optimization function.
[00265] Необязательно предварительно заданное условие включает в себя следующие случаи:[00265] The optional predefined condition includes the following cases:
[00266] Случай 1: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[00266] Case 1: The preset condition is that the terminal uses the CIoT 5GS control plane optimization function.
[00267] На основании случая 1 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[00267] Based on
[00268] В этом варианте осуществления настоящей заявки то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя следующие реализации:[00268] In this embodiment of the present application, the mobility control network element determining whether the terminal uses the CIoT 5GS control plane optimization function includes the following implementations:
[00269] Реализация 1: Сетевой элемент управления мобильностью определяет на основе предпочтительного поведения сети (preferred network behavior), о котором сообщает терминал, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления.[00269] Implementation 1: The network mobility control element determines, based on the preferred network behavior reported by the terminal, whether the terminal uses the CIoT 5GS optimization function of the control plane.
[00270] Предпочтительное поведение сети может передаваться в сообщении запроса регистрации, отправленном терминалом. Предпочтительное поведение сети используется для указания сетевой функции, поддерживаемой терминалом. Другими словами, предпочтительное поведение сети используется для указания сетевой функции, которую предпочитает использовать терминал. Например, предпочтительное поведение сети может указывать, поддерживает ли терминал функцию оптимизации CIoT 5GS плоскости управления, поддерживает ли функцию оптимизации CIoT 5GS плоскости пользователя, передачу данных N3, сжатие заголовка и т.п.[00270] The preferred network behavior may be conveyed in a registration request message sent by the terminal. Preferred network behavior is used to indicate the network function supported by the terminal. In other words, preferred network behavior is used to indicate the network function that the terminal prefers to use. For example, the preferred network behavior may indicate whether the terminal supports the control plane CIoT 5GS optimization function, whether the user plane CIoT 5GS optimization function supports, N3 data transmission, header compression, and the like.
[00271] В частности, если предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, а сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью может определить что терминал использует функцию оптимизации CIoT 5GS плоскости управления.[00271] Specifically, if the preferred network behavior reported by the terminal indicates that the terminal prefers to use a control plane CIoT 5GS optimization function, and the mobility control network element supports the control plane CIoT 5GS optimization function, the mobility control network element may determine that the terminal is using the function optimization of the CIoT 5GS control plane.
[00272] Альтернативно, если предпочтительное поведение сети, о котором сообщил терминал, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, но сетевой элемент управления мобильностью не поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью может определить что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.[00272] Alternatively, if the preferred network behavior reported by the terminal indicates that the terminal prefers to use the control plane CIoT 5GS optimization function, but the mobility control network element does not support the control plane CIoT 5GS optimization function, the mobility control network element may determine that the terminal does not use the CIoT 5GS control plane optimization feature.
[00273] В качестве альтернативы, если предпочтительное поведение сети, о котором сообщил терминал, указывает, что терминал не предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.[00273] Alternatively, if the preferred network behavior reported by the terminal indicates that the terminal does not prefer to use the control plane CIoT 5GS optimization function, the mobility control network element determines that the terminal does not use the control plane CIoT 5GS optimization function.
[00274] Реализация 2: Сетевой элемент управления мобильностью определяет на основе контекста терминала, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления.[00274] Implementation 2: The mobility control network element determines, based on the terminal context, whether the terminal uses the control plane CIoT 5GS optimization function.
[00275] В частности, когда контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. Альтернативно, когда контекст терминала указывает, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.[00275] Specifically, when the terminal context indicates that the terminal is using a 5GS control plane CIoT optimization function, the mobility control network element determines that the terminal is using a 5GS control plane CIoT optimization function. Alternatively, when the terminal context indicates that the terminal is not using the CIoT 5GS control plane optimization function, the mobility control network element determines that the terminal is not using the CIoT 5GS control plane optimization function.
[00276] Следует отметить, что если терминал использует функцию оптимизации CIoT 5GS плоскости управления, между терминалом и устройством доступа к сети не устанавливается контекст безопасности AS. Следовательно, усеченный параметр не может быть передан способом, используемым согласно известной технологии, чтобы предотвратить замену усеченного параметра злоумышленником. На основании этого сетевому элементу управления мобильностью необходимо выполнить следующий этап S102.[00276] It should be noted that if the terminal uses the CIoT 5GS control plane optimization function, no AS security context is established between the terminal and the network access device. Therefore, the truncated parameter cannot be passed in a manner known in the art to prevent an attacker from replacing the truncated parameter. Based on this, the mobility management network element needs to perform the next step S102.
[00277] Случай 2: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминал изначально зарегистрирован в сети.[00277] Case 2: The preset condition is that the terminal uses the CIoT 5GS control plane optimization function, and the terminal is initially registered with the network.
[00278] На основании случая 2 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и зарегистрирован ли терминал изначально в сети. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[00278] Based on Case 2, step S101 may be specifically implemented as follows: The mobility control network element determines whether the terminal uses the CIoT 5GS optimization function of the control plane and whether the terminal is initially registered with the network. If the terminal uses the CIoT 5GS control plane optimization function and the terminal is initially registered with the network, the mobility network element determines that the terminal meets a predefined condition; or if the terminal does not use the CIoT 5GS control plane optimization function or the terminal is not initially registered with the network, the network mobility control element determines that the terminal does not meet a predefined condition.
[00279] В этом варианте осуществления настоящей заявки сетевой элемент управления мобильностью определяет на основе типа регистрации, о котором сообщил терминал, был ли терминал изначально зарегистрирован в сети.[00279] In this embodiment of the present application, the network mobility control element determines, based on the registration type reported by the terminal, whether the terminal was initially registered with the network.
[00280] Тип регистрации терминала может быть перенесен в сообщение запроса регистрации, отправленное терминалом. Тип регистрации терминала включает в себя первоначальную регистрацию, регистрацию обновления мобильности, периодическое обновление регистрации и экстренную регистрацию.[00280] The registration type of the terminal may be carried into the registration request message sent by the terminal. The terminal registration type includes initial registration, mobility update registration, periodic registration update and emergency registration.
[00281] Конкретно, когда тип регистрации терминала является начальной регистрацией, сетевой элемент управления мобильностью может определить, что терминал изначально зарегистрирован в сети. Альтернативно, когда типом регистрации терминала является регистрация обновления мобильности, периодическое обновление регистрации или экстренная регистрация, сетевой элемент управления мобильностью может определить, что терминал изначально не зарегистрирован в сети.[00281] Specifically, when the terminal's registration type is initial registration, the mobility network element may determine that the terminal is initially registered with the network. Alternatively, when the terminal's registration type is mobility update registration, periodic registration update, or emergency registration, the network mobility control element may determine that the terminal is not initially registered with the network.
[00282] Необязательно, в процедуре регистрации предварительно заданное условие может быть предварительно заданным условием в случае 2.[00282] Optionally, in the registration procedure, the predefined condition may be the predefined condition in case 2.
[00283] Следует отметить, что усеченный параметр меняется не часто. Следовательно, стороне сети не нужно посылать терминалу усеченный параметр в каждой процедуре регистрации терминала. Следовательно, для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, если терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью выполняет следующий этап S102, чтобы гарантировать, что терминал получает правильный усеченный параметр; если терминал изначально не зарегистрирован в сети, это указывает, что терминал сохраняет усеченный параметр, и сетевой элемент управления мобильностью может решить не выполнять следующий этап S102, чтобы уменьшить накладные расходы на сигнализацию.[00283] It should be noted that the truncated parameter does not change frequently. Therefore, the network side does not need to send the truncated parameter to the terminal in each terminal registration procedure. Therefore, for a terminal that uses the CIoT 5GS control plane optimization function, if the terminal is initially registered in the network, the mobility control network element executes the following step S102 to ensure that the terminal receives the correct truncated parameter; if the terminal is not initially registered with the network, this indicates that the terminal stores the truncated parameter, and the network mobility control element may decide not to perform the next step S102 in order to reduce signaling overhead.
[00284] Случай 3: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминалу нужно обновить усеченный параметр.[00284] Case 3: The preset condition is that the terminal is using the control plane CIoT 5GS optimization function, and the terminal needs to update the truncated parameter.
[00285] На основе случая 3 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, или терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.[00285] Based on Case 3, step S101 may be specifically implemented as follows: The mobility control network element determines whether the terminal uses the control plane CIoT 5GS optimization function and whether the terminal needs to update the truncated parameter. If the terminal uses the CIoT 5GS control plane optimization function and the terminal needs to update the truncated parameter, the mobility network element determines that the terminal meets the predefined condition; or if the terminal does not use the CIoT 5GS control plane optimization function, or the terminal does not need to update the truncated parameter, the mobility network element determines that the terminal does not meet the predefined condition.
[00286] В этом варианте осуществления настоящей заявки то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя одну из следующих реализаций:[00286] In this embodiment of the present application, the mobility control network element determining whether the terminal needs to update the truncated parameter includes one of the following implementations:
[00287] Реализация 1: Сетевой элемент управления мобильностью определяет, является ли усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, таким же, как усеченный параметр, который хранится в контексте терминала, чтобы определить, нужно ли терминалу обновить усеченный параметр.[00287] Implementation 1: The mobility network element determines whether the truncated parameter configured in the mobility network element is the same as the truncated parameter that is stored in the terminal context to determine whether the terminal needs to update the truncated parameter.
[00288] Следует отметить, что сетевой элемент управления мобильностью сохраняет в контексте терминала усеченный параметр, используемый терминалом в настоящее время. То есть усеченный параметр, сохраненный в контексте терминала, является усеченным параметром, используемым в настоящее время терминалом.[00288] It should be noted that the mobility control network element stores in the terminal context the truncated parameter currently used by the terminal. That is, the truncated parameter stored in the terminal context is the truncated parameter currently used by the terminal.
[00289] Когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, сохраненного в контексте терминала, сетевой элемент управления мобильностью может определить, что терминалу нужно обновить усеченный параметр. Альтернативно, когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, совпадает с усеченным параметром, сохраненным в контексте терминала, сетевой элемент управления мобильностью может определить, что терминалу не нужно обновлять усеченный параметр.[00289] When the truncated parameter configured in the mobility network element differs from the truncated parameter stored in the terminal context, the mobility network element may determine that the terminal needs to update the truncated parameter. Alternatively, when a truncated parameter configured in the mobility network element matches a truncated parameter stored in the terminal context, the mobility network element may determine that the terminal does not need to update the truncated parameter.
[00290] Реализация 2: Сетевой элемент управления мобильностью определяет, находится ли текущее время в пределах предварительно заданного периода времени, чтобы определить, нужно ли терминалу обновить усеченный параметр.[00290] Implementation 2: The mobility control network element determines whether the current time is within a predefined time period to determine whether the terminal needs to update the truncated parameter.
[00291] Момент начала предварительно заданного периода времени представляет собой момент, в который сетевой элемент управления мобильностью определяет, что усеченный параметр обновлен, и продолжительность предварительно заданного периода времени является предварительно заданной продолжительностью. Например, предварительно заданная продолжительность может составлять одну минуту или может составлять 10 минут.[00291] The starting point of the predetermined time period is the moment at which the mobility network element determines that the truncated parameter is updated, and the duration of the predetermined time period is a predetermined duration. For example, the preset duration may be one minute or may be 10 minutes.
[00292] Необязательно, предварительно заданная продолжительность больше временного интервала периодического обновления регистрации.[00292] Optionally, the predetermined duration is greater than the periodic registration update time interval.
[00293] Например, предварительно заданная продолжительность может более чем в два раза превышать временной интервал периодического обновления регистрации.[00293] For example, the predetermined duration may be more than twice the periodic registration update time interval.
[00294] Следует отметить, что сторона сети может настроить временной интервал периодического обновления регистрации для терминала, например, 10 минут. После того, как время ожидания терминала превышает временной интервал, терминал активно инициирует запрос регистрации, так что сторона сети знает, что терминал все еще находится в сети. Следовательно, если сторона сети устанавливает предварительно заданную продолжительность более чем в два раза больше временного интервала периодического обновления регистрации в пределах предварительно заданной продолжительности, сетевой элемент управления мобильностью может гарантировать, что все онлайн-терминалы могут обновить усеченный параметр.[00294] It should be noted that the network side may configure the periodic registration update time interval for the terminal, for example, 10 minutes. After the terminal's idle time exceeds the time interval, the terminal actively initiates a registration request so that the network side knows that the terminal is still online. Therefore, if the network side sets a preset duration to be more than twice the periodic registration update time interval within the preset duration, the network mobility control element can ensure that all online terminals can update the truncated parameter.
[00295] То есть, когда текущее время находится в пределах предварительно заданного периода времени, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр. Когда текущее время не находится в пределах предварительно заданного периода времени, сетевой элемент управления мобильностью определяет, что терминалу не нужно обновлять усеченный параметр.[00295] That is, when the current time is within a predetermined time period, the mobility control network element determines that the terminal needs to update the truncated parameter. When the current time is not within a predetermined time period, the mobility network element determines that the terminal does not need to update the truncated parameter.
[00296] Необязательно, в сценарии, в котором усеченный параметр обновляется, предварительно заданное условие может быть предварительно заданным условием в случае 3.[00296] Optionally, in a scenario in which the truncated parameter is updated, the predefined condition may be the predefined condition in case 3.
[00297] Следует отметить, что для способа обновления усеченного параметра сетевым элементом управления мобильностью обратитесь к следующему описанию этапа S401. Подробности здесь не описаны.[00297] It should be noted that for the method of updating the truncated parameter by the mobility management network element, refer to the following description of step S401. The details are not described here.
[00298] Следует отметить, что независимо от того, сохраняет ли терминал усеченный параметр, когда сторона сети обновляет усеченный параметр, сторона сети должна отправить обновленный усеченный параметр терминалу, чтобы предотвратить получение терминалом неправильного усеченного 5G-S-TMSI с помощью усеченного параметра, который был до обновления. Следовательно, для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, когда сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью выполняет следующий шаг S102, чтобы гарантировать, что терминал может получить последний усеченный параметр, тем самым гарантируя, что терминал может нормально получить доступ к сети; когда сетевой элемент управления мобильностью определяет, что терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью может не выполнять следующий этап S102 для уменьшения накладных расходов на сигнализацию.[00298] It should be noted that regardless of whether the terminal stores the truncated parameter, when the network side updates the truncated parameter, the network side must send the updated truncated parameter to the terminal to prevent the terminal from receiving an incorrect truncated 5G-S-TMSI with the truncated parameter that was before the update. Therefore, for a terminal that uses the CIoT 5GS control plane optimization function, when the mobility network element determines that the terminal needs to update the truncated parameter, the mobility network element performs the next step S102 to ensure that the terminal can obtain the latest truncated parameter, thereby ensuring that the terminal can normally access the network; when the mobility network element determines that the terminal does not need to update the truncated parameter, the mobility network element may not perform the next step S102 to reduce signaling overhead.
[00299] Следует отметить, что вышеприведенные случаи с 1 по 3 являются просто примерами предварительно заданных условий, и этот вариант осуществления данной заявки не ограничивается ими.[00299] It should be noted that the
[00300] S102. Сетевой элемент управления мобильностью отправляет терминалу, когда терминал соответствует предварительно заданному условию, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр.[00300] S102. The mobility network element sends to the terminal, when the terminal meets a predetermined condition, a downlink NAS message in which NAS security protection is performed using the NAS security context, where the downlink NAS message includes a truncated parameter.
[00301] Необязательно сетевой элемент управления мобильностью может предварительно сохранить усеченный параметр, или сетевой элемент управления мобильностью может получить усеченный параметр от устройства доступа к сети.[00301] Optionally, the network mobility control element may previously store the truncated parameter, or the network mobility control element may obtain the truncated parameter from the network access device.
[00302] Защита безопасности NAS включает в себя как минимум защиту целостности. Необязательно защита безопасности NAS дополнительно включает в себя защиту шифрованием.[00302] NAS security protection includes, at a minimum, integrity protection. Optionally, NAS security protection further includes encryption protection.
[00303] Можно понять, что поскольку защита безопасности NAS выполняется для сообщения NAS нисходящей линии связи, защита безопасности NAS также выполняется для усеченного параметра в сообщении NAS нисходящей линии связи, так что может быть обеспечена безопасность усеченного параметра.[00303] It can be understood that since NAS security protection is performed on the downlink NAS message, NAS security protection is also performed on the truncated parameter in the downlink NAS message, so that the security of the truncated parameter can be ensured.
[00304] Следует отметить, что сообщение NAS нисходящей линии связи может быть новой сигнализацией, или сигнализация в существующей процедуре может быть повторно использована.[00304] It should be noted that the downlink NAS message may be new signaling, or the signaling in an existing procedure may be reused.
[00305] Например, в процедуре регистрации сообщение NAS нисходящей линии связи может быть сообщением о принятии регистрации (registration accept).[00305] For example, in a registration procedure, the downlink NAS message may be a registration accept message.
[00306] В качестве другого примера, в процедуре запроса услуги сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги (servers accept).[00306] As another example, in a service request procedure, the downlink NAS message may be a servers accept message.
[00307] S103. Терминал выполняет снятие защиты безопасности с NAS нисходящей линии связи.[00307] S103. The terminal performs security deprotection on the downlink NAS.
[00308] Когда защита безопасности NAS, выполняемая для сообщения NAS нисходящей линии связи, является защитой целостности, снятие защиты безопасности является проверкой целостности. В качестве альтернативы, когда защита целостности и защита шифрованием выполняются для сообщения NAS нисходящей линии связи, снятие защиты безопасности представляет собой проверку целостности и расшифровку.[00308] When the NAS security protection performed on the downlink NAS message is integrity protection, removing the security protection is an integrity check. Alternatively, when integrity protection and encryption protection are performed on the downlink NAS message, removing the security protection is an integrity check and decryption.
[00309] S104. Терминал сохраняет усеченный параметр после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.[00309] S104. The terminal stores the truncated parameter after successfully deprotecting the downlink NAS message.
[00310] В возможной реализации, после того как уровень NAS терминала успешно выполняет снятие защиты безопасности с безопасности в сообщении NAS нисходящей линии связи, уровень NAS терминала сохраняет усеченный параметр.[00310] In an exemplary implementation, after the terminal NAS layer successfully performs security deprotection on the downlink NAS message, the terminal NAS layer stores the truncated parameter.
[00311] В другой возможной реализации после того, как уровень NAS терминала успешно снимает защиту безопасности с сообщения NAS нисходящей линии связи, уровень NAS терминала отправляет усеченный параметр уровню RRC терминала, и уровень RRC терминала сохраняет усеченный параметр.[00311] In another possible implementation, after the terminal NAS layer successfully removes security protection from the downlink NAS message, the terminal NAS layer sends the truncated parameter to the terminal RRC layer, and the terminal RRC layer stores the truncated parameter.
[00312] На основе технического решения, показанного на фиг. 8, поскольку предварительно заданное условие включает в себя, по меньшей мере, то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, то, что терминал соответствует предварительно заданному условию, указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. При определении того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, чтобы гарантировать, что защита безопасности NAS выполняется для усеченного параметра в процессе передачи. Таким образом гарантируется, что усеченный параметр не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.[00312] Based on the technical solution shown in FIG. 8, since the preset condition includes at least that the terminal uses the CIoT 5GS control plane optimization function, that the terminal meets the preset condition indicates that the terminal uses the CIoT 5GS control plane optimization function. When determining that the terminal is using the control plane CIoT 5GS optimization function, the mobility control network element sends the terminal a downlink NAS message in which NAS security protection is performed using the NAS security context to ensure that NAS security protection is performed for the truncated parameter in transfer process. This ensures that the truncated parameter is not replaced or tampered with, thereby avoiding a denial of service attack launched by an attacker against the terminal, and further ensuring that the terminal can normally access the network.
[00313] Далее описывается техническое решение, показанное на фиг. 8 со ссылкой на конкретные сценарии применения.[00313] Next, the technical solution shown in FIG. 8 with reference to specific application scenarios.
[00314] Сценарий 1: Сетевой элемент управления мобильностью предварительно сохраняет усеченный параметр.[00314] Scenario 1: The mobility network element previously stores a truncated parameter.
[00315] На основе сценария 1 на фиг. 9 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.[00315] Based on
[00316] S200. Сетевой элемент управления мобильностью предварительно сохраняет усеченный параметр.[00316] S200. The network mobility control element previously stores the truncated parameter.
[00317] Необязательно, оператор может сконфигурировать усеченный параметр для сетевого элемента управления мобильностью, используя систему управления сетью, чтобы сетевой элемент управления мобильностью мог предварительно сохранить усеченный параметр.[00317] Optionally, the operator may configure a truncated parameter for the network mobility control element using the network management system so that the network mobility control element can previously store the truncated parameter.
[00318] В возможном исполнении усеченный параметр может иметь степень детализации PLMN или может иметь степень детализации региона. То есть усеченный параметр, сконфигурированный в системе управления сетью, может быть применим ко всей сети PLMN или только к региону.[00318] In an exemplary embodiment, the truncated parameter may have a granularity of PLMN or may have a granularity of a region. That is, a truncated parameter configured in the network management system may be applicable to the entire PLMN network or only to a region.
[00319] Конкретная реализация того, как сетевой элемент управления мобильностью предварительно конфигурирует усеченный параметр, не ограничена в этом варианте осуществления настоящей заявки.[00319] The specific implementation of how the mobility management network element pre-configures the truncated parameter is not limited in this embodiment of the present application.
[00320] S201. Терминал отправляет сообщение NAS восходящей линии связи сетевому элементу управления мобильностью, так что сетевой элемент управления мобильностью принимает сообщение NAS восходящей линии связи, отправленное терминалом.[00320] S201. The terminal sends an uplink NAS message to the mobility network element, so that the mobility network element receives the uplink NAS message sent by the terminal.
[00321] Например, сообщение NAS восходящей линии связи может быть сообщением запроса регистрации, сообщением запроса на обслуживание и т.п. Это не ограничено в этом варианте осуществления настоящей заявки.[00321] For example, the uplink NAS message may be a registration request message, a service request message, or the like. This is not limited in this embodiment of the present application.
[00322] Следует отметить, что сообщение запроса регистрации может включать в себя тип регистрации (5GS registration type) и предпочтительное поведение сети.[00322] It should be noted that the registration request message may include a registration type (5GS registration type) and a preferred network behavior.
[00323] S202. Терминал и сетевой элемент управления мобильностью активируют безопасность NAS.[00323] S202. The terminal and network mobility element enable NAS security.
[00324] Например, сообщение NAS восходящей линии связи представляет собой сообщение запроса регистрации. После того, как сетевой элемент управления мобильностью принимает сообщение запроса регистрации, сетевой элемент управления мобильностью выполняет процедуру аутентификации и согласования ключей (authentication and key agreement, AKA) для терминала. Затем, после успешной аутентификации, сетевой элемент управления мобильностью и терминал активируют контекст безопасности NAS между терминалом и сетевым элементом управления мобильностью с помощью процедуры команды режима безопасности NAS (security mode command, SMC).[00324] For example, the uplink NAS message is a registration request message. After the mobility network element receives the registration request message, the mobility network element performs an authentication and key agreement (AKA) procedure for the terminal. Then, after successful authentication, the network mobility control element and the terminal activate the NAS security context between the terminal and the network mobility control element using the NAS security mode command (SMC) procedure.
[00325] Например, сообщение NAS восходящей линии связи является сообщением запроса на обслуживание. После того, как сетевой элемент управления мобильностью принимает сообщение запроса на обслуживание, сетевой элемент управления мобильностью выполняет проверку целостности сообщения запроса на обслуживание. После успешной проверки целостности сообщения запроса на обслуживание сетевой элемент управления мобильностью активирует контекст безопасности NAS между терминалом и сетевым элементом управления мобильностью.[00325] For example, the uplink NAS message is a service request message. After the mobility network element receives the service request message, the mobility network element performs an integrity check of the service request message. After successfully verifying the integrity of the service request message, the mobility network element activates a NAS security context between the terminal and the mobility network element.
[00326] S203-S206 аналогичны этапам S101-S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.[00326] S203-S206 are the same as steps S101-S104. For specific descriptions thereof, refer to the embodiment shown in FIG. 8. The details are not repeated here.
[00327] Необязательно, когда сообщение NAS восходящей линии связи представляет собой сообщение запроса регистрации, сообщение NAS нисходящей линии связи представляет собой сообщение о принятии регистрации.[00327] Optionally, when the uplink NAS message is a registration request message, the downlink NAS message is a registration acceptance message.
[00328] Необязательно, когда сообщение NAS восходящей линии связи представляет собой сообщение запроса на обслуживание, сообщение NAS нисходящей линии связи является сообщением о принятии услуги.[00328] Optionally, when the uplink NAS message is a service request message, the downlink NAS message is a service acceptance message.
[00329] На основе варианта осуществления, показанного на фиг. 9, в некоторых процедурах, например, в процедуре регистрации или процедуре запроса услуги, сетевой элемент управления мобильностью может активно определять, соответствует ли терминал предварительно заданному условию. Сетевой элемент управления мобильностью отправляет в терминал, когда терминал соответствует предварительно заданному условию, усеченный параметр, в отношении которого выполняется защита безопасности NAS, так что терминал может использовать усеченный параметр в последующей процедуре.[00329] Based on the embodiment shown in FIG. 9, in some procedures, such as a registration procedure or a service request procedure, the mobility control network element may actively determine whether the terminal meets a predetermined condition. The mobility network element sends to the terminal, when the terminal meets a predetermined condition, a truncated parameter on which NAS security protection is performed, so that the terminal can use the truncated parameter in a subsequent procedure.
[00330] Сценарий 2: Устройство доступа к сети предварительно сохраняет усеченный параметр.[00330] Scenario 2: The network access device previously stores the truncated parameter.
[00331] На основе сценария 2 на фиг. 10 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.[00331] Based on scenario 2 in FIG. 10 shows a method for protecting a truncated parameter according to an embodiment of the present application. The method includes the following steps.
[00332] S300. Устройство доступа к сети предварительно сохраняет усеченный параметр.[00332] S300. The network access device first stores the truncated parameter.
[00333] Следует отметить, что устройство доступа к сети обычно предварительно конфигурирует усеченный параметр, так что устройство доступа к сети восстанавливает полный 5G-S-TMSI на основе усеченного параметра и усеченного 5G-S-TMSI.[00333] It should be noted that the network access device typically pre-configures the truncated parameter, such that the network access device reconstructs the full 5G-S-TMSI based on the truncated parameter and the truncated 5G-S-TMSI.
[00334] Дополнительно оператор может настроить усеченный параметр для устройства доступа к сети с помощью системы управления сетью, чтобы устройство доступа к сети могло предварительно сохранить усеченный параметр.[00334] Additionally, the operator can configure the truncated parameter for the network access device using the network management system so that the network access device can pre-store the truncated parameter.
[00335] В возможном исполнении усеченный параметр может иметь степень детализации PLMN или может иметь степень детализации региона. То есть усеченный параметр, сконфигурированный в системе управления сетью, может быть применим ко всей сети PLMN или только к региону.[00335] In an exemplary embodiment, the truncated parameter may have a granularity of PLMN or may have a granularity of a region. That is, a truncated parameter configured in the network management system may be applicable to the entire PLMN network or only to a region.
[00336] Конкретная реализация того, как устройство доступа к сети предварительно конфигурирует усеченный параметр, не ограничена в этом варианте осуществления настоящей заявки.[00336] The specific implementation of how the network access device pre-configures the truncated parameter is not limited in this embodiment of the present application.
[00337] S301. Терминал отправляет сообщение RRC восходящей линии связи в устройство доступа к сети.[00337] S301. The terminal sends an uplink RRC message to the network access device.
[00338] Например, сообщение RRC восходящей линии связи может быть сообщением запроса установления RRC или сообщением завершения установления RRC. Это не ограничено в этом варианте осуществления настоящей заявки.[00338] For example, the uplink RRC message may be an RRC Establishment Request message or an RRC Establishment Complete message. This is not limited in this embodiment of the present application.
[00339] Необязательно, в дополнение к сообщению RRC восходящей линии связи, терминал может дополнительно отправить сообщение NAS восходящей линии связи устройству доступа к сети, так что устройство доступа к сети пересылает сообщение NAS восходящей линии связи сетевому элементу управления мобильностью. Например, сообщение NAS восходящей линии связи может быть сообщением запроса регистрации или сообщением запроса на обслуживание. Это не ограничено в этом варианте осуществления настоящей заявки.[00339] Optionally, in addition to the uplink RRC message, the terminal may further send an uplink NAS message to the network access device, such that the network access device forwards the uplink NAS message to the network mobility control element. For example, the uplink NAS message may be a registration request message or a service request message. This is not limited in this embodiment of the present application.
[00340] В возможном исполнении сообщение NAS восходящей линии связи может использоваться в качестве полезной нагрузки сообщения RRC восходящей линии связи. Например, сообщение RRC восходящей линии связи включает в себя контейнер NAS (container), а контейнер NAS включает в себя сообщение NAS восходящей линии связи. Таким образом, терминал отправляет сообщение RRC восходящей линии связи устройству доступа к сети для передачи сообщения RRC восходящей линии связи и сообщения NAS восходящей линии связи вместе стороне сети.[00340] In an exemplary embodiment, the uplink NAS message may be used as the payload of the uplink RRC message. For example, the uplink RRC message includes a NAS container, and the NAS container includes the uplink NAS message. That is, the terminal sends an uplink RRC message to the network access device to transmit the uplink RRC message and the uplink NAS message together to the network side.
[00341] В другом возможном исполнении терминал отдельно отправляет сообщение NAS восходящей линии связи и сообщение RRC восходящей линии связи в устройство доступа к сети.[00341] In another possible implementation, the terminal separately sends an uplink NAS message and an uplink RRC message to the network access device.
[00342] S302. Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.[00342] S302. The network access device determines whether the terminal supports the CIoT 5GS optimization function.
[00343] Функция оптимизации CIoT 5GS включает в себя функцию оптимизации CIoT 5GS в плоскости пользователя и/или функцию оптимизации CIoT 5GS в плоскости управления.[00343] The CIoT 5GS optimization function includes a CIoT 5GS user plane optimization function and/or a CIoT 5GS control plane optimization function.
[00344] То есть терминал поддерживает функцию оптимизации CIoT 5GS, что указывает на то, что терминал может поддерживать функцию оптимизации CIoT 5GS плоскости пользователя и/или функцию оптимизации CIoT 5GS плоскости управления.[00344] That is, the terminal supports a CIoT 5GS optimization function, which indicates that the terminal can support a user plane CIoT 5GS optimization function and/or a control plane CIoT 5GS optimization function.
[00345] Необязательно, на этапе S302 используется по меньшей мере одна из следующих реализаций:[00345] Optionally, at step S302, at least one of the following implementations is used:
[00346] Реализация 1: Когда сообщение RRC восходящей линии связи включает в себя указание возможностей, устройство доступа к сети определяет на основе указания возможностей, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если указание возможностей используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[00346] Implementation 1: When the uplink RRC message includes a capability indication, the network access device determines based on the capability indication whether the terminal supports the CIoT 5GS optimization function. Specifically, if the capability indication is used to indicate that the terminal supports the 5GS CIoT optimization function, the network access device determines that the terminal supports the 5GS CIoT optimization function.
[00347] Дополнительно, если указание возможности не указывает, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.[00347] Additionally, if the capability indication does not indicate that the terminal supports the 5GS CIoT optimization function, the network access device determines that the terminal does not support the 5GS CIoT optimization function.
[00348] Реализация 2: Устройство доступа к сети определяет на основе частоты доступа терминала, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если частота, используемая устройством CIoT, является частотой доступа терминала, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[00348] Implementation 2: The network access device determines, based on the access frequency of the terminal, whether the terminal supports the CIoT 5GS optimization function. Specifically, if the frequency used by the CIoT device is the access frequency of the terminal, the network access device determines that the terminal supports the CIoT 5GS optimization function.
[00349] Дополнительно, если частота, используемая терминалом, не является частотой для доступа устройства CIoT, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.[00349] Additionally, if the frequency used by the terminal is not the access frequency of the CIoT device, the network access device determines that the terminal does not support the CIoT 5GS optimization function.
[00350] Реализация 3: Устройство доступа к сети определяет на основе типа сообщения, отправленного терминалом, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если тип сообщения, отправленного терминалом, совпадает с типом сообщения, предназначенного для устройства CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.[00350] Implementation 3: The network access device determines, based on the type of message sent by the terminal, whether the terminal supports the CIoT 5GS optimization function. Specifically, if the message type sent by the terminal matches the message type intended for the CIoT device, the network access device determines that the terminal supports the CIoT 5GS optimization feature.
[00351] При необходимости, если тип сообщения, отправленного терминалом, отличается от типа сообщения, предназначенного для устройства CIoT, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.[00351] Optionally, if the message type sent by the terminal is different from the message type intended for the CIoT device, the network access device determines that the terminal does not support the CIoT 5GS optimization feature.
[00352] Можно понять, что реализации с 1 по 3 являются просто примерами конкретных реализаций этапа S302. В реальном применении Реализация 1, Реализация 2 и/или Реализация 3 могут использоваться в комбинации.[00352] It can be understood that
[00353] Следует отметить, что если устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети выполняет следующий этап S303.[00353] Note that if the network access device determines that the terminal supports the CIoT 5GS optimization function, the network access device executes the next step S303.
[00354] S303. Устройство доступа к сети отправляет сообщение N2 сетевому элементу управления мобильностью, так что сетевой элемент управления мобильностью принимает сообщение N2, отправленное устройством доступа к сети.[00354] S303. The network access device sends an N2 message to the mobility network element, such that the mobility network element receives the N2 message sent by the network access device.
[00355] Сообщение N2 включает в себя усеченный параметр.[00355] Message N2 includes a truncated parameter.
[00356] Необязательно, сообщение N2 может быть начальным сообщением UE (Initial UE message).[00356] Optionally, the N2 message may be an Initial UE message.
[00357] Необязательно, когда терминал далее отправляет сообщение NAS восходящей линии связи устройству доступа к сети, сообщение N2 несет сообщение NAS восходящей линии связи.[00357] Optionally, when the terminal further sends the uplink NAS message to the network access device, the N2 message carries the uplink NAS message.
[00358] S304-S307 аналогичны этапам S101-S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.[00358] S304-S307 are the same as steps S101-S104. For specific descriptions thereof, refer to the embodiment shown in FIG. 8. The details are not repeated here.
[00359] На основе варианта осуществления, показанного на фиг. 10, когда устройство доступа к сети сохраняет усеченный параметр, устройство доступа к сети определяет, поддерживает ли терминал, к которому осуществляется доступ, функцию оптимизации CIoT 5GS. Затем устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, чтобы в последующей процедуре сетевой элемент управления мобильностью мог отправить терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, усеченный параметр, по которому выполняется защита безопасности NAS. В предыдущем процессе сетевой элемент управления мобильностью может получить усеченный параметр от устройства доступа к сети. Следовательно, сетевому элементу управления мобильностью не нужно предварительно конфигурировать усеченный параметр, тем самым уменьшая сложность конфигурации усеченного параметра. [00359] Based on the embodiment shown in FIG. 10, when the network access device stores the truncated parameter, the network access device determines whether the accessed terminal supports the CIoT 5GS optimization function. The network access device then sends the truncated parameter to the network mobility control element when the terminal supports the CIoT 5GS optimization function, so that in a subsequent procedure, the network mobility control element can send to the terminal that uses the control plane CIoT 5GS optimization function the truncated parameter on which security protection is performed. NAS In the previous process, the network mobility control may receive a truncated parameter from the network access device. Therefore, the mobility network element does not need to pre-configure the truncated parameter, thereby reducing the complexity of configuring the truncated parameter.
Вариант 2 осуществления: Option 2 implementation:
[00360] Фиг. 11 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.[00360] FIG. 11 shows a method for protecting a truncated parameter according to an embodiment of the present application. The method includes the following steps.
[00361] S401. Сетевой элемент управления мобильностью обновляет усеченный параметр.[00361] S401. The network mobility control element updates the truncated parameter.
[00362] Необязательно, этап S401 может включать в себя одну из следующих реализаций:[00362] Optionally, step S401 may include one of the following implementations:
[00363] Реализация 1: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF.[00363] Implementation 1: The mobility network element updates the truncated parameter based on the number of AMF set IDs and/or the number of AMF pointers.
[00364] Например, если ID набора AMF и/или указатель AMF, которые усечены на основе текущего усеченного параметра, не могут представлять все выделенные сетевые элементы управления мобильностью, сетевой элемент управления мобильностью должен скорректировать усеченный параметр.[00364] For example, if an AMF set ID and/or an AMF pointer that is truncated based on the current truncated parameter cannot represent all allocated network mobility controls, the network mobility control element must adjust the truncated parameter.
[00365] Например, для текущего усеченного параметра значение n равно 5, а значение m равно 3. В этом случае усеченный ID набора AMF имеет только пять битов, и общее количество наборов AMF, которые могут быть указаны с помощью усеченного ID набора AMF, составляет 32; усеченный указатель AMF имеет только три бита, и общее количество указателей, которые могут быть указаны усеченным указателем AMF, равно 8. Если текущее количество наборов AMF равно 14, а текущее количество указателей равно 9, сетевому элементу управления мобильностью необходимо обновить усеченный параметр. Необязательно, для обновленного усеченного параметра n может быть скорректировано до 4, а m может быть скорректировано до 4. Таким образом, общее количество наборов AMF, которые могут быть указаны усеченным ID набора AMF, составляет 16, а общее количество указателей, которые могут быть указаны усеченным указателем AMF, равно 16.[00365] For example, for the current truncated parameter, the value of n is 5 and the value of m is 3. In this case, the truncated AMF set ID has only five bits, and the total number of AMF sets that can be specified by the truncated AMF set ID is 32; The AMF truncated pointer has only three bits, and the total number of pointers that can be pointed by the AMF truncated pointer is 8. If the current number of AMF sets is 14 and the current number of pointers is 9, the mobility network element needs to update the truncated parameter. Optionally, for an updated truncated parameter, n can be adjusted to 4 and m can be adjusted to 4. Thus, the total number of AMF sets that can be specified by a truncated AMF set ID is 16, and the total number of pointers that can be specified AMF truncated pointer is equal to 16.
[00366] Реализация 2: Сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью.[00366] Implementation 2: The mobility management network element updates the truncated parameter in accordance with the instructions of the network management system.
[00367] Необязательно, система управления сетью может быть системой эксплуатации, администрирования и обслуживания (operation administration and maintenance, OAM).[00367] Optionally, the network management system may be an operation administration and maintenance (OAM) system.
[00368] Реализация 3: Сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.[00368] Implementation 3: The network mobility control element receives the updated truncated parameter sent by the network access device.
[00369] Следует отметить, что устройство доступа к сети может обновлять усеченный параметр в соответствии с инструкцией системы управления сетью.[00369] It should be noted that the network access device may update the truncated parameter in accordance with the instruction of the network management system.
[00370] S402. Сетевой элемент управления мобильностью ищет терминал, который использует функцию оптимизации CIoT 5GS плоскости управления.[00370] S402. The mobility control network element looks for a terminal that uses the CIoT 5GS control plane optimization feature.
[00371] В возможной реализации сетевой элемент управления мобильностью сохраняет контекст терминала и контекст терминала включает в себя информацию указания, указывающую, использует ли соответствующий терминал функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью определяет на основе контекстов множества терминалов, которые хранятся в сетевом элементе управления мобильностью, терминал, который использует функцию оптимизации CIoT 5GS плоскости управления.[00371] In an exemplary implementation, the mobility control network element stores the terminal context, and the terminal context includes indication information indicating whether the corresponding terminal uses a control plane CIoT 5GS optimization function. The mobility network element determines, based on the contexts of a plurality of terminals that are stored in the mobility network element, a terminal that uses the control plane CIoT 5GS optimization function.
[00372] Понятно, что может быть один или несколько терминалов, использующих функцию оптимизации CIoT 5GS плоскости управления.[00372] It is understood that there may be one or more terminals using the CIoT 5GS control plane optimization function.
[00373] S403. Сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.[00373] S403. The mobility control network element sends to a terminal that uses the control plane CIoT 5GS optimization function a downlink NAS message in which NAS security protection is performed using the NAS security context.
[00374] Сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.[00374] The downlink NAS message includes an updated truncated parameter.
[00375] Для любого терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, то, что сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, включает в себя одну из следующих реализаций:[00375] For any terminal that uses the CIoT 5GS control plane optimization function, the mobility control network element sending a downlink NAS message to the terminal includes one of the following implementations:
[00376] Реализация 1: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии (CONNECTED), сетевой элемент управления мобильностью может напрямую отправить терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.[00376] Implementation 1: If the terminal that uses the CIoT 5GS control plane optimization function is in the CONNECTED state, the mobility network element may directly send to the terminal that uses the CIoT 5GS control plane optimization function a downlink NAS message. in which NAS security protection is performed using the NAS security context.
[00377] Необязательно, на основе реализации 1, сообщение NAS нисходящей линии связи может быть сообщением команды обновления конфигурации UE (UE Configuration Update Command).[00377] Optionally, based on
[00378] Реализация 2: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью ожидает, пока терминал перейдет в подключенное состояние. После того, как терминал переходит в подключенное состояние и активируется безопасность NAS, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.[00378] Implementation 2: If a terminal that uses the CIoT 5GS control plane optimization function is in an unconnected state, the mobility control network element waits for the terminal to transition to a connected state. After the terminal enters the connected state and NAS security is activated, the mobility network element sends a downlink NAS message to the terminal in which NAS security protection is performed using the NAS security context.
[00379] В этом варианте осуществления настоящей заявки неподключенное состояние может быть состоянием бездействия (idle) или неактивным (inactive) состоянием RRC.[00379] In this embodiment of the present application, the unconnected state may be an idle state or an inactive RRC state.
[00380] Следует отметить, что терминал, находящийся в неподключенном состоянии, может активно инициировать сообщение запроса на обслуживание, чтобы войти в подключенное состояние.[00380] It should be noted that a terminal in an unconnected state may actively initiate a service request message to enter a connected state.
[00381] Необязательно, на основе Реализации 2, сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги или управляющим сообщением обновления конфигурации UE.[00381] Optionally, based on Implementation 2, the downlink NAS message may be a service acceptance message or a UE configuration update control message.
[00382] Реализация 3: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью осуществляет поисковый вызов в отношении терминала для предписания терминалу перейти в подключенное состояние. После того, как терминал переходит в подключенное состояние и безопасность NAS активирована, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.[00382] Implementation 3: If a terminal that uses the CIoT 5GS control plane optimization function is in an unconnected state, the mobility control network element paging the terminal to cause the terminal to transition to a connected state. After the terminal enters the connected state and NAS security is activated, the mobility network element sends a downlink NAS message to the terminal in which NAS security protection is performed using the NAS security context.
[00383] Необязательно, на основе реализации 3, сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги или сообщением команды обновления конфигурации UE (UE Configuration Update Command).[00383] Optionally, based on implementation 3, the downlink NAS message may be a service acceptance message or a UE Configuration Update Command message.
[00384] Следует отметить, что когда терминал находится в неподключенном состоянии, терминалу не нужно усекать 5G-S-TMSI. Поэтому терминалу в неподключенном состоянии нет необходимости сразу обновлять усеченный параметр. В этом случае сетевой элемент управления мобильностью обновляет усеченный параметр для терминала после того, как терминал восстановлен в подключенное состояние, чтобы предотвратить одновременную отправку сетевым элементом управления мобильностью терминалу большого количества сигналов NAS, тем самым избегая перегруженности сигнализацией.[00384] It should be noted that when the terminal is in an unconnected state, the terminal does not need to truncate the 5G-S-TMSI. Therefore, a terminal in an unconnected state does not need to immediately update the truncated parameter. In this case, the mobility network element updates the truncated parameter for the terminal after the terminal is restored to the connected state to prevent the mobility network element from simultaneously sending a large number of NAS signals to the terminal, thereby avoiding signaling congestion.
[00385] Кроме того, на основе Реализации 3 сетевой элемент управления мобильностью не «пробуждает» активно терминал, который находится в неподключенном состоянии, что помогает снизить энергопотребление терминала.[00385] In addition, based on Implementation 3, the mobility control network element does not actively “wake up” a terminal that is in an unconnected state, which helps reduce power consumption of the terminal.
[00386] S404 и S405 аналогичны этапам S103 и S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.[00386] S404 and S405 are the same as steps S103 and S104. For specific descriptions thereof, refer to the embodiment shown in FIG. 8. The details are not repeated here.
[00387] На основе технического решения, показанного на фиг. 11, после обновления усеченного параметра сетевой элемент управления мобильностью активно отправляет обновленный усеченный параметр, на котором выполняется защита безопасности NAS, на терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, чтобы терминал мог получить обновленный усеченный параметр. Это позволяет избежать случая, когда терминал не может нормально получить доступ к сети, потому что терминал использует неправильный усеченный параметр. [00387] Based on the technical solution shown in FIG. 11, after updating the truncated parameter, the network mobility control element actively sends the updated truncated parameter on which NAS security protection is performed to the terminal, which uses the CIoT 5GS optimization function of the control plane, so that the terminal can obtain the updated truncated parameter. This avoids the case where the terminal cannot access the network normally because the terminal is using an incorrect truncated parameter.
Вариант 3 осуществления: Option 3 implementation:
[00388] Фиг. 12 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.[00388] FIG. 12 shows a method for protecting a truncated parameter according to an embodiment of the present application. The method includes the following steps.
[00389] S500-S503 аналогичны этапам S300-S303. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 10. Подробности здесь повторно не приводятся.[00389] S500-S503 are the same as steps S300-S303. For specific descriptions thereof, refer to the embodiment shown in FIG. 10. The details are not repeated here.
[00390] Необязательно, в дополнение к усеченному параметру, устройство доступа к сети может дополнительно отправить сетевому элементу управления мобильностью параметр актуальности и/или информацию указания защиты.[00390] Optionally, in addition to the truncated parameter, the network access device may additionally send a relevance parameter and/or security indication information to the network mobility control element.
[00391] Параметр актуальности используется для вычисления целостности усеченного параметра и параметр актуальности используется для обеспечения того, чтобы NAS MAC, сформированные два раза, были разными. Например, параметр актуальности может быть счетчиком PDCP нисходящей линии связи (count).[00391] The relevance parameter is used to calculate the integrity of the truncated parameter, and the relevance parameter is used to ensure that the NAS MACs generated twice are different. For example, the relevance parameter may be a downlink PDCP counter (count).
[00392] Информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра.[00392] Security indication information is used to instruct the mobility network element to perform security protection on the truncated parameter.
[00393] S504. Сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования первого NAS MAC.[00393]S504. The mobility network element performs a truncated parameter integrity calculation based on the NAS security context to generate the first NAS MAC.
[00394] В возможной реализации, когда сетевой элемент управления мобильностью принимает усеченный параметр, сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, для формирования первого NAS MAC.[00394] In an exemplary implementation, when the mobility network element receives a truncated parameter, the mobility network element performs an integrity calculation of the truncated parameter to generate a first NAS MAC.
[00395] В другой возможной реализации, когда сетевой элемент управления мобильностью принимает усеченный параметр и информацию указания защиты, сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, для формирования первого NAS MAC. Когда сетевой элемент управления мобильностью принимает усеченный параметр, но не принимает информацию инструкции защиты, сетевой элемент управления мобильностью не выполняет вычисление целостности усеченного параметра.[00395] In another possible implementation, when the mobility network element receives the truncated parameter and security indication information, the mobility network element performs an integrity calculation of the truncated parameter to generate a first NAS MAC. When the mobility network element receives a truncated parameter but does not receive security instruction information, the mobility network element does not perform an integrity calculation of the truncated parameter.
[00396] При необходимости сетевой элемент управления мобильностью формирует первый NAS MAC на основе ключа защиты целостности, усеченного параметра и алгоритма защиты целостности.[00396] Optionally, the mobility network element generates a first NAS MAC based on an integrity protection key, a truncated parameter, and an integrity protection algorithm.
[00397] Необязательно, когда устройство доступа к сети отправляет параметр актуальности сетевому элементу управления мобильностью, сетевой элемент управления мобильностью формирует первый NAS MAC на основе ключа защиты целостности, усеченного параметра, алгоритма защиты целостности и параметра актуальности.[00397] Optionally, when the network access device sends the relevance parameter to the network mobility control element, the network mobility control element generates a first NAS MAC based on the integrity protection key, the truncated parameter, the integrity protection algorithm and the relevance parameter.
[00398] S505. Сетевой элемент управления мобильностью отправляет первый NAS MAC устройству доступа к сети, так что устройство доступа к сети принимает первый NAS MAC, отправленный сетевым элементом управления мобильностью.[00398]S505. The mobility network element sends the first NAS MAC to the network access device, such that the network access device receives the first NAS MAC sent by the mobility network element.
[00399] S506. Устройство доступа к сети отправляет усеченный параметр и первый NAS MAC терминалу, так что терминал принимает усеченный параметр и первый NAS MAC, отправленные устройством доступа к сети.[00399]S506. The network access device sends the truncated parameter and the first NAS MAC to the terminal, so that the terminal receives the truncated parameter and the first NAS MAC sent by the network access device.
[00400] Усеченный параметр и первый NAS MAC могут переноситься в сообщении RRC нисходящей линии связи.[00400] The truncated parameter and the first NAS MAC may be carried in the downlink RRC message.
[00401] Необязательно, сообщение RRC нисходящей линии связи дополнительно несет указание параметра актуальности, и указание параметра актуальности может представлять собой несколько битов счетчика PDCP нисходящей линии связи.[00401] Optionally, the downlink RRC message further carries an indication of the relevance parameter, and the indication of the relevance parameter may be several bits of the downlink PDCP counter.
[00402] Например, сообщение RRC нисходящей линии связи может быть сообщением реконфигурации RRC. Это не ограничено в этом варианте осуществления настоящей заявки.[00402] For example, the downlink RRC message may be an RRC reconfiguration message. This is not limited in this embodiment of the present application.
[00403] S507. Терминал выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования второго NAS MAC.[00403] S507. The terminal performs a truncated parameter integrity calculation based on the NAS security context to form a second NAS MAC.
[00404] Дополнительно терминал формирует второй NAS MAC на основе ключа защиты целостности, усеченного параметра и алгоритма защиты целостности.[00404] Additionally, the terminal generates a second NAS MAC based on the integrity protection key, the truncated parameter, and the integrity protection algorithm.
[00405] Необязательно, когда терминал дополнительно принимает указание параметра актуальности, отправленную устройством доступа к сети, терминал формирует второй NAS MAC на основе ключа защиты целостности, усеченного параметра, параметра актуальности и алгоритма защиты целостности.[00405] Optionally, when the terminal further receives the relevance parameter indication sent by the network access device, the terminal generates a second NAS MAC based on the integrity protection key, the truncated parameter, the relevance parameter and the integrity protection algorithm.
[00406] Следует отметить, что после того, как терминал принимает указание параметра актуальности, терминал может получить параметр актуальности на основе указания параметра актуальности. Например, терминал восстанавливает полный PDCP COUNT нисходящей линии связи на основе некоторых битов PDCP COUNT нисходящей линии связи.[00406] It should be noted that after the terminal receives the relevance parameter indication, the terminal may obtain the relevance parameter based on the relevance parameter indication. For example, the terminal reconstructs the complete downlink PDCP COUNT based on some downlink PDCP COUNT bits.
[00407] S508. Терминал проверяет первый NAS MAC на основе второго NAS MAC.[00407] S508. The terminal checks the first NAS MAC based on the second NAS MAC.
[00408] В возможной реализации терминал определяет, является ли второй NAS MAC таким же, как первый NAS MAC. Если первый NAS MAC совпадает со вторым NAS MAC, терминал определяет, что проверка первого NAS MAC прошла успешно. Если первый NAS MAC отличается от второго NAS MAC, терминал определяет, что проверка первого NAS MAC не удалась.[00408] In a possible implementation, the terminal determines whether the second NAS MAC is the same as the first NAS MAC. If the first NAS MAC matches the second NAS MAC, the terminal determines that the verification of the first NAS MAC is successful. If the first NAS MAC is different from the second NAS MAC, the terminal determines that verification of the first NAS MAC has failed.
[00409] S509. Терминал сохраняет усеченный параметр после успешной проверки первого NAS MAC.[00409] S509. The terminal saves the truncated parameter after successfully checking the first NAS MAC.
[00410] В возможной реализации после успешной проверки первого NAS MAC уровень RRC терминала сохраняет усеченный параметр.[00410] In a possible implementation, after successful verification of the first NAS MAC, the RRC layer of the terminal stores the truncated parameter.
[00411] В другой возможной реализации, после успешной проверки первого NAS MAC, уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Затем уровень NAS терминала сохраняет усеченный параметр.[00411] In another possible implementation, after successful verification of the first NAS MAC, the RRC layer of the terminal sends the truncated parameter to the NAS layer of the terminal. The terminal NAS layer then stores the truncated parameter.
[00412] На основе технического решения, показанного на фиг. 12, когда устройству доступа к сети необходимо отправить усеченный параметр терминалу, устройство доступа к сети сначала отправляет усеченный параметр сетевому элементу управления мобильностью, чтобы получить первый NAS MAC, соответствующий усеченному параметру. Затем устройство доступа к сети отправляет терминалу усеченный параметр и первый NAS MAC. Таким образом, с помощью первого NAS MAC терминал может проверить, не изменен ли усеченный параметр злоумышленником, тем самым гарантируя целостность усеченного параметра. Когда терминал получает правильный усеченный параметр, терминал обычно может получить доступ к сети.[00412] Based on the technical solution shown in FIG. 12, when the network access device needs to send a truncated parameter to the terminal, the network access device first sends the truncated parameter to the network mobility control element to obtain the first NAS MAC corresponding to the truncated parameter. The network access device then sends the truncated parameter and the first NAS MAC to the terminal. Thus, using the first NAS MAC, the terminal can check whether the truncated parameter has been modified by an attacker, thereby guaranteeing the integrity of the truncated parameter. When the terminal receives the correct truncated parameter, the terminal can usually access the network.
[00413] Когда происходит сбой радиоканала (radio link failure, RLF), терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может инициировать процедуру повторного установления соединения RRC. В процедуре повторного установления RRC-соединения терминал должен отправить сообщение запроса на повторное установление RRC (RRC Reestablishment Request) целевому устройству доступа к сети, а сообщение запроса на повторное установление RRC несет усеченный 5G-S-TMSI.[00413] When a radio link failure (RLF) occurs, a terminal that uses the CIoT 5GS control plane optimization function may initiate an RRC connection re-establishment procedure. In the RRC connection re-establishment procedure, the terminal must send an RRC Re-establishment Request message to the target network access device, and the RRC Re-establishment Request message carries the truncated 5G-S-TMSI.
[00414] Следовательно, UE необходимо получить усеченный 5G-S-TMSI в процедуре повторного установления RRC-соединения.[00414] Therefore, the UE needs to obtain the truncated 5G-S-TMSI in the RRC connection re-establishment procedure.
[00415] Необязательно, что терминал получает усеченный 5G-S-TMSI, включает в себя одну из следующих реализаций:[00415] Optionally, the terminal receiving the truncated 5G-S-TMSI includes one of the following implementations:
[00416] Реализация 1: Когда уровень RRC терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень RRC терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI.[00416] Implementation 1: When the terminal RRC layer is responsible for storing the truncated parameter, when the terminal needs to use the truncated 5G-S-TMSI, the terminal RRC layer truncates the 5G-S-TMSI based on the truncated parameter to obtain the truncated 5G-S-TMSI.
[00417] Реализация 2: Когда уровень RRC терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[00417] Implementation 2: When the RRC layer of the terminal is responsible for storing the truncated parameter, when the terminal needs to use the truncated 5G-S-TMSI, the RRC layer of the terminal sends the truncated parameter to the NAS layer of the terminal. The terminal NAS layer truncates the 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[00418] Реализация 3: Когда уровень NAS терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень NAS терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.[00418] Implementation 3: When the terminal NAS layer is responsible for storing the truncated parameter, when the terminal needs to use the truncated 5G-S-TMSI, the terminal NAS layer truncates the 5G-S-TMSI based on the truncated parameter to obtain the truncated 5G-S-TMSI. The NAS layer of the terminal sends the truncated 5G-S-TMSI to the RRC layer of the terminal.
[00419] Реализация 4: Когда уровень NAS терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Затем уровень RRC терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI.[00419] Implementation 4: When the terminal NAS layer is responsible for storing the truncated parameter, when the terminal needs to use the truncated 5G-S-TMSI, the terminal NAS layer sends the truncated parameter to the terminal RRC layer. The terminal RRC layer then truncates the 5G-S-TMSI based on the truncated parameter to obtain a truncated 5G-S-TMSI.
[00420] Можно понять, что усеченный параметр, хранящийся в терминале, получен терминалом с использованием технического решения, показанного на любой из фиг. 8 по фиг. 12.[00420] It can be understood that the truncated parameter stored in the terminal is obtained by the terminal using the technical solution shown in any of FIGS. 8 according to FIG. 12.
[00421] Далее подробно описывается процедура повторного установления соединения RRC для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления.[00421] The following describes in detail the RRC connection re-establishment procedure for a terminal that uses the CIoT 5GS control plane optimization function.
[00422] Терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, не имеет доступного контекста безопасности AS. Следовательно, для защиты процедуры повторного установления уровень AS терминала предписывает уровню NAS предоставлять UL_NAS_MAC и XDL_NAS_MAC. UL_NAS_MAC указывает, что терминал запрашивает повторное установление RRC-соединения, а XDL_NAS_MAC используется для указания того, что терминал находится в соединении с реальной сетью.[00422] A terminal that uses the CIoT 5GS control plane optimization feature does not have an AS security context available. Therefore, to protect the re-establishment procedure, the AS layer of the terminal instructs the NAS layer to provide UL_NAS_MAC and XDL_NAS_MAC. UL_NAS_MAC indicates that the terminal is requesting to re-establish an RRC connection, and XDL_NAS_MAC is used to indicate that the terminal is in connection with the real network.
[00423] Следует отметить, что терминал устанавливает Key в ключ целостности (KNASint), устанавливает счетчик в значение счетчика NAS восходящей линии связи, устанавливает DIRECTION в 0 и устанавливает Message в идентификатор целевой соты (ID соты) и полное сообщение запроса на повторное установление RRC, которое исключает младший значащий бит (LSB) счетчика NAS и UL_NAS_MAC. Затем терминал вводит эти параметры (например, ключ и сообщение) в используемый в настоящее время алгоритм целостности для формирования NAS MAC.[00423] Note that the terminal sets Key to Key Integrity (KNASint), sets Counter to the uplink NAS counter value, sets DIRECTION to 0, and sets Message to the target cell identifier (Cell ID) and the complete RRC re-establishment request message , which excludes the least significant bit (LSB) of the NAS and UL_NAS_MAC counter. The terminal then inputs these parameters (eg, key and message) into the currently used integrity algorithm to form the NAS MAC.
[00424] Первые 16 бит NAS MAC образуют UL_NAS_MAC, а последние 16 бит NAS MAC формируют XDL_NAS_MAC.[00424] The first 16 bits of the NAS MAC form the UL_NAS_MAC, and the last 16 bits of the NAS MAC form the XDL_NAS_MAC.
[00425] Затем терминал отправляет сообщение запроса на повторное установление RRC целевому устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI и пять младших значащих битов счетчика NAS. Младшие значащие биты счетчика NAS используются для расчета NAS MAC.[00425] The terminal then sends an RRC re-establishment request message to the target network access device, where the RRC re-establishment request message includes the truncated 5G-S-TMSI and the least significant five bits of the NAS counter. The least significant bits of the NAS counter are used to calculate the NAS MAC.
[00426] Целевое устройство доступа к сети восстанавливает полный 5G-S-TMSI на основе усеченного 5G-S-TMSI в сообщении запроса на повторное установление RRC и локально сконфигурированного усеченного параметра (m и n). Целевое устройство доступа к сети может определить на основе полного 5G-S-TMSI сетевой элемент управления мобильностью, обслуживающий терминал. Кроме того, целевое устройство доступа к сети отправляет 5G-S-TMSI, ID целевой соты и все сообщение запроса на повторное установление RRC, за исключением усеченного 5G-S-TMSI, сетевому элементу управления мобильностью.[00426] The target network access device reconstructs the full 5G-S-TMSI based on the truncated 5G-S-TMSI in the RRC re-establishment request message and the locally configured truncated parameter (m and n). The target network access device can determine, based on the full 5G-S-TMSI, the network mobility control element serving the terminal. In addition, the target network access device sends the 5G-S-TMSI, the target cell ID and the entire RRC re-establishment request message except the truncated 5G-S-TMSI to the network mobility control element.
[00427] Сетевой элемент управления мобильностью оценивает полный счетчик NAS восходящей линии связи, используя LSB счетчика NAS, связанного с идентификатором соединения NAS «0×01». Затем сетевой элемент управления мобильностью использует предполагаемое количество NAS восходящей линии связи для вычисления XNAS-MAC.[00427] The mobility management network element estimates the full uplink NAS counter using the LSB of the NAS counter associated with the NAS connection ID "0x01". The mobility network element then uses the estimated number of uplink NAS to calculate the XNAS-MAC.
[00428] Сетевой элемент управления мобильностью сравнивает, совпадают ли первые 16 бит UL_NAS_MAC с битами XNAS-MAC. Когда первые 16 бит UL_NAS_MAC совпадают с битами XNAS-MAC, сетевой элемент управления мобильностью определяет, что реальный терминал отправляет сообщение запроса на повторное установление RRC.[00428] The mobility control network element compares whether the first 16 bits of UL_NAS_MAC match the XNAS-MAC bits. When the first 16 bits of UL_NAS_MAC match the XNAS-MAC bits, the mobility network element determines that the real terminal is sending an RRC re-establishment request message.
[00429] Затем сетевой элемент управления мобильностью отправляет сообщение указания установления соединения (connection establishment indication) целевому устройству доступа к сети, где сообщение указания установления соединения включает в себя DL_NAS_MAC. Следует отметить, что DL_NAS_MAC - это последние 16 бит XNAS-MAC.[00429] The network mobility control element then sends a connection establishment indication message to the target network access device, where the connection establishment indication message includes DL_NAS_MAC. It should be noted that DL_NAS_MAC is the last 16 bits of XNAS-MAC.
[00430] Устройство доступа к сети посылает терминалу сообщение повторного установления RRC (RRC Reestablishment), где сообщение повторного установления RRC включает в себя DL_NAS_MAC.[00430] The network access device sends an RRC Reestablishment message to the terminal, where the RRC Reestablishment message includes DL_NAS_MAC.
[00431] Терминал проверяет, совпадает ли полученный DL_NAS_MAC с XDL_NAS_MAC. Если DL_NAS_MAC и XDL_NAS_MAC совпадают, терминал завершает процедуру повторного установления RRC-соединения.[00431] The terminal checks whether the received DL_NAS_MAC matches the XDL_NAS_MAC. If DL_NAS_MAC and XDL_NAS_MAC match, the terminal completes the RRC connection re-establishment procedure.
[00432] Вышеизложенное в основном описывает решения, предусмотренные в вариантах осуществления настоящей заявки, с точки зрения взаимодействия между сетевыми элементами. Можно понять, что для реализации вышеизложенных функций каждый сетевой элемент, например терминал, устройство доступа к сети и сетевой элемент управления мобильностью, включает в себя соответствующую аппаратную структуру или программный модуль для выполнения каждой функции или их комбинацию. Специалисту в данной области техники должно быть понятно, что блоки, алгоритмы и этапы в примерах, описанных со ссылкой на варианты осуществления, раскрытые в данном описании, могут быть реализованы аппаратными средствами или комбинацией аппаратных средств и компьютерного программного обеспечения в данной заявке. Выполняется ли функция аппаратным обеспечением или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных применений и конструктивных ограничений технических решений. Специалист в данной области может использовать различные способы для реализации описанных функций для каждого конкретного применения, но не следует считать, что такая реализация выходит за рамки объема данной заявки.[00432] The foregoing mainly describes the solutions provided in the embodiments of the present application from the point of view of interaction between network elements. It can be understood that in order to implement the above functions, each network element, such as a terminal, a network access device and a mobility management network element, includes a corresponding hardware structure or software module for performing each function or a combination thereof. One skilled in the art will appreciate that the blocks, algorithms, and steps in the examples described with reference to the embodiments disclosed herein may be implemented in hardware or a combination of hardware and computer software in this application. Whether a function is performed by hardware or hardware controlled by computer software depends on the specific applications and design limitations of the technical solutions. One skilled in the art may employ various methods to implement the described functions for each particular application, but such implementation should not be considered beyond the scope of this application.
[00433] В вариантах осуществления настоящей заявки функциональные модули устройства доступа к сети, сетевого элемента управления мобильностью и терминала могут быть получены путем разделения на основе приведенных выше примеров способов. Например, каждый функциональный модуль может быть получен посредством разделения на основе каждой соответствующей функции, или две или более функции могут быть интегрированы в один модуль обработки. Интегрированный модуль может быть реализован в виде аппаратного обеспечения или может быть реализован в виде программного функционального модуля. Следует отметить, что в этом варианте осуществления настоящей заявки разделение на модули является примером и представляет собой просто логическое разделение функций. При фактической реализации может использоваться другой способ разделения. Пример, в котором каждый функциональный модуль получается путем разделения на основе каждой соответствующей функции, используется ниже для описания.[00433] In embodiments of the present application, functional modules of the network access device, network mobility control element and terminal can be obtained by partitioning based on the above example methods. For example, each functional module can be obtained by partitioning on the basis of each corresponding function, or two or more functions can be integrated into one processing module. The integrated module may be implemented as hardware or may be implemented as a software function module. It should be noted that in this embodiment of the present application, the moduleization is exemplary and is simply a logical division of functions. In actual implementation, a different separation method may be used. An example in which each function module is obtained by dividing based on each corresponding function is used below for description.
[00434] Фиг. Фиг. 13 является схематической структурной диаграммой терминала в соответствии с вариантом осуществления настоящей заявки. Как показано на фиг. 13, терминал включает в себя модуль 201 связи, модуль 202 обработки и модуль 203 хранения. Модуль 201 связи выполнен с возможностью поддержки терминала при выполнении этапа S102 на фиг. 8, этапы S201 и S204 на фиг. 9, этапы S301 и S305 на фиг. 10, этап S403 на фиг. 11, этапы S501 и S506 на фиг. 12, и/или другую операцию связи, которая должна быть выполнена терминалом в вариантах осуществления настоящей заявки. Модуль 202 обработки выполнен с возможностью поддержки терминала при выполнении этапа S103 на фиг. 8, этапы S202 и S205 на фиг. 9, шаг S306 на фиг. 10, этап S404 на фиг. 11, этапы S507 и S508 на фиг. 12, и/или другую операцию обработки, которая должна быть выполнена терминалом в вариантах осуществления настоящей заявки. Модуль 203 хранения выполнен с возможностью поддержки терминала при выполнении этапа S104 на фиг. 8, шаг S206 на фиг. 9, этап S307 на фиг. 10, этап S405 на фиг. 11, этап S509 на фиг. 12, и/или другую операцию сохранения, которая должна выполняться терминалом в вариантах осуществления настоящей заявки.[00434] FIG. Fig. 13 is a schematic structure diagram of a terminal according to an embodiment of the present application. As shown in FIG. 13, the terminal includes a
[00435] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 202 обработки на ФИГ. 13 может быть реализован процессором 101 на фиг. 7 модуль связи 201 на фиг. 13, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 203 хранения на ФИГ. 13, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.[00435] In the example referring to the device shown in FIG. 7,
[00436] Фиг. 14 представляет собой схематическую структурную диаграмму устройства доступа к сети согласно варианту осуществления настоящей заявки. Как показано на фиг. 14, устройство доступа к сети включает в себя модуль 301 связи, модуль 302 обработки и модуль 303 хранения. Модуль 301 связи выполнен с возможностью поддержки устройства доступа к сети при выполнении этапов S301 и S303 на фиг. 10, этапы S501, S503, S505 и S506 на фиг. 12, и/или другую операцию связи, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки. Модуль 302 обработки выполнен с возможностью поддержки устройства доступа к сети при выполнении этапа S302 на фиг. 10, этап S502 на фиг. 12, и/или другую операцию обработки, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки. Модуль 303 хранения выполнен с возможностью поддержки устройства доступа к сети при выполнении этапа S300 на фиг. 10, этап S500 на фиг. 12, и/или другую операцию сохранения, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки.[00436] FIG. 14 is a schematic block diagram of a network access device according to an embodiment of the present application. As shown in FIG. 14, the network access device includes a
[00437] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 302 обработки на ФИГ. 14 может быть реализован процессором 101 на фиг. 7 модуль связи 301 на фиг. 14, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 303 хранения на ФИГ. 14, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.[00437] In the example referring to the device shown in FIG. 7,
[00438] Фиг. 15 представляет собой схематическую структурную диаграмму сетевого элемента управления мобильностью согласно варианту осуществления настоящей заявки. Как показано на фиг. 15 сетевой элемент управления мобильностью включает в себя модуль 401 связи, модуль 402 обработки и модуль 403 хранения. Модуль 401 связи выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S102 на фиг. 8, этапы S201 и S204 на фиг. 9, этапы S303 и S305 на фиг. 10, этап S403 на фиг. 11, этапы S503 и S505 на фиг. 12, и/или другую операцию связи, которая должна выполняться сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки. Модуль 402 обработки выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S101 на фиг. 8, этапы S202 и S203 на фиг. 9, шаг S304 на фиг. 10, этапы S401 и S402 на фиг. 11, этап S504 на фиг. 12, и/или другую операцию обработки, которая должна быть выполнена сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки. Модуль 403 хранения выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S200 на фиг. 9, и/или другую операцию сохранения, которая должна выполняться сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки.[00438] FIG. 15 is a schematic structure diagram of a mobility management network element according to an embodiment of the present application. As shown in FIG. 15, the mobility network element includes a
[00439] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 402 обработки на ФИГ. 15 может быть реализован процессором 101 на фиг. 7 модуль связи 401 на фиг. 15, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 403 хранения на ФИГ. 15, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.[00439] In the example referring to the device shown in FIG. 7,
[00440] Вариант осуществления данной заявки дополнительно обеспечивает считываемый компьютером носитель данных. Считываемый компьютером носитель хранит инструкцию, и когда считываемый компьютером носитель данных работает на компьютере, компьютер получает возможность выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.[00440] An embodiment of this application further provides a computer-readable storage medium. The computer-readable medium stores the instruction, and when the computer-readable medium is operated by the computer, the computer is able to perform the truncated parameter protection method provided in the embodiments of the present application.
[00441] Вариант осуществления настоящей заявки дополнительно предоставляет компьютерный программный продукт, включающий в себя компьютерную инструкцию. Когда компьютерный программный продукт запускается на компьютере, компьютер получает возможность выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.[00441] An embodiment of the present application further provides a computer program product including computer instructions. When a computer program product is executed on a computer, the computer is able to execute the truncated parameter protection method provided in the embodiments of the present application.
[00442] Вариант осуществления настоящей заявки обеспечивает микросхему. Чип включает в себя процессор. При выполнении инструкции процессор позволяет микросхеме выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.[00442] An embodiment of the present application provides a microcircuit. The chip includes the processor. When executing the instruction, the processor allows the chip to execute the truncated parameter protection method provided in the embodiments of the present application.
[00443] Следует понимать, что компьютерная инструкция может быть сохранена на считываемом компьютером носителе данных или может быть передана с считываемого компьютером носителя данных на другой считываемый компьютером носитель данных. Например, компьютерная инструкция может быть передана с веб-сайта, компьютера, сервера или центра обработки данных на другой веб-сайт, компьютер, сервер или центр обработки данных по проводному (например, коаксиальному кабелю, оптоволоконному кабелю или цифровому абонентскому устройству) или беспроводным (например, инфракрасным, радио или микроволновым) способом. Считываемый компьютером носитель данных может быть любым используемым носителем, доступным для компьютера, или устройством хранения данных, таким как сервер или центр обработки данных, объединяющим один или несколько используемых носителей. Используемым носителем может быть магнитный носитель (например, гибкий диск, жесткий диск или магнитная лента), оптический носитель, полупроводниковый носитель (например, твердотельный накопитель) и т.п.[00443] It should be understood that a computer instruction may be stored on a computer readable storage medium or may be transmitted from a computer readable storage medium to another computer readable storage medium. For example, a computer instruction may be transmitted from a website, computer, server, or data center to another website, computer, server, or data center via wired (e.g., coaxial cable, fiber optic cable, or digital subscriber unit) or wireless ( for example, infrared, radio or microwave) method. A computer-readable storage medium can be any usable media accessible to a computer, or a storage device, such as a server or data center, combining one or more usable media. The medium used may be a magnetic medium (eg, a floppy disk, a hard disk, or a magnetic tape), an optical medium, a semiconductor medium (for example, a solid state drive), or the like.
[00444] Приведенные выше описания реализаций позволяют специалисту в данной области техники ясно понять, что в целях удобного и краткого описания разделение только на вышеупомянутые функциональные модули используется в качестве примера для иллюстрации. В реальном применении вышеупомянутые функции могут быть назначены различным функциональным модулям для реализации на основе требования, то есть внутренняя структура устройства разделена на различные функциональные модули для реализации всех или некоторых функций, описанных выше.[00444] The above descriptions of implementations allow one skilled in the art to clearly understand that, for the purpose of convenient and concise description, the division into only the above-mentioned functional modules is used as an example for illustration. In actual application, the above functions can be assigned to different function modules for implementation based on the requirement, that is, the internal structure of the device is divided into various function modules to implement all or some of the functions described above.
[00445] Следует понимать, что в нескольких вариантах осуществления, представленных в настоящей заявке, раскрытые устройства и способы могут быть реализованы другими способами. Например, описанные варианты осуществления устройства являются просто примерами. Например, разделение на модули или блоки - это просто логическое функциональное разделение. В реальной реализации может быть другой способ разделения. Например, множество блоков или компонентов могут быть объединены или могут быть интегрированы в другое устройство, или некоторые функции могут быть проигнорированы или не реализованы. Кроме того, отображаемые или обсуждаемые взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы через некоторые интерфейсы. Косвенные связи или коммуникационные соединения между устройствами или блоками могут быть реализованы в электрической форме, механической форме или другой форме.[00445] It should be understood that in several embodiments presented herein, the disclosed devices and methods may be implemented in other ways. For example, the described embodiments of the device are merely examples. For example, division into modules or blocks is simply a logical functional division. In a real implementation there may be a different way of dividing. For example, multiple blocks or components may be combined or integrated into another device, or some functionality may be ignored or not implemented. In addition, the mutual connections or direct connections or communication connections displayed or discussed may be implemented through some interfaces. Indirect connections or communication connections between devices or units may be implemented in electrical form, mechanical form, or other form.
[00446] Блоки, описанные как отдельные компоненты, могут быть или не быть физически отдельными, а компоненты, отображаемые как блоки, могут быть одним или несколькими физическими блоками, то есть могут быть расположены в одном месте или могут быть распределены по множеству разных мест. Некоторые или все блоки могут быть выбраны на основе фактических требований для достижения целей решений в упомянутых вариантах осуществления.[00446] Blocks described as individual components may or may not be physically separate, and components depicted as blocks may be one or more physical blocks, that is, they may be located in one location or may be distributed over many different locations. Some or all of the blocks may be selected based on actual requirements to achieve the objectives of the solutions in the mentioned embodiments.
[00447] Кроме того, функциональные блоки в вариантах осуществления настоящей заявки могут быть интегрированы в один блок обработки, или каждый из блоков может существовать отдельно физически, или два или более блоков интегрируются в один блок. блок. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде функционального блока программного обеспечения.[00447] In addition, the functional blocks in embodiments of the present application may be integrated into a single processing block, or each of the blocks may exist separately physically, or two or more blocks are integrated into a single block. block. The integrated block may be implemented as hardware or may be implemented as a software functional block.
[00448] Когда интегрированный блок реализуется в виде функционального блока программного обеспечения и продается или используется как независимый продукт, интегрированный блок может храниться на читаемом носителе данных. Исходя из такого понимания, технические решения в вариантах осуществления настоящей заявки по существу или часть, вносящая вклад в существующую технологию, или все или некоторые из технических решений могут быть реализованы в форме программного продукта. Программный продукт хранится на носителе данных и включает в себя несколько инструкций для указания устройству (которым может быть однокристальный микрокомпьютер, микросхема и т.п.) или процессору (processor) выполнить все или некоторые из шагов программы. способы, описанные в вариантах осуществления данной заявки.[00448] When an integrated block is implemented as a software functional block and is sold or used as an independent product, the integrated block may be stored on a readable storage medium. Based on this understanding, the technical solutions in the embodiments of the present application, essentially or a part that contributes to existing technology, or all or some of the technical solutions may be implemented in the form of a software product. The software product is stored on a storage medium and includes a number of instructions to instruct a device (which may be a single-chip microcomputer, a microcircuit, etc.) or a processor to execute all or some of the steps of the program. the methods described in the embodiments of this application.
[00449] Вышеприведенное описание представляет собой лишь конкретные реализации данной заявки, но оно не предназначено для ограничения объема охраны данной заявки.[00449] The above description represents only specific implementations of this application, but it is not intended to limit the scope of protection of this application.
Любое изменение или замена в пределах объема, раскрытого в настоящей заявке, будет попадать в объем правовой охраны настоящей заявки. Следовательно, объем охраны настоящей заявки должен соответствовать объему охраны формулы изобретения.Any modification or substitution within the scope disclosed in this application will be within the scope of protection of this application. Therefore, the scope of protection of the present application should correspond to the scope of protection of the claims.
Claims (88)
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2805219C1 true RU2805219C1 (en) | 2023-10-12 |
Family
ID=
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2451429C2 (en) * | 2007-10-29 | 2012-05-20 | Нокиа Сименс Нетуоркс Ой | Allocation of user equipment temporary identifier by relay node controlled by base station |
| WO2018169743A1 (en) * | 2017-03-17 | 2018-09-20 | Qualcomm Incorporated | Network access privacy |
| WO2018236819A1 (en) * | 2017-06-19 | 2018-12-27 | Idac Holdings, Inc. | Methods and systems for privacy protection of 5g slice identifier |
| US20190254094A1 (en) * | 2018-02-15 | 2019-08-15 | Apple Inc. | Apparatus, System, and Method for Performing GUTI Reallocation |
| WO2019183834A1 (en) * | 2018-03-28 | 2019-10-03 | Zte Corporation | Methods and system for transmitting a temporary identifier |
| WO2019193538A1 (en) * | 2018-04-05 | 2019-10-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Paging optimization using truncated ue identifiers |
| EP3565373A1 (en) * | 2018-04-26 | 2019-11-06 | HTC Corporation | Device and method of handling a radio resource control reestablishment |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2451429C2 (en) * | 2007-10-29 | 2012-05-20 | Нокиа Сименс Нетуоркс Ой | Allocation of user equipment temporary identifier by relay node controlled by base station |
| WO2018169743A1 (en) * | 2017-03-17 | 2018-09-20 | Qualcomm Incorporated | Network access privacy |
| WO2018236819A1 (en) * | 2017-06-19 | 2018-12-27 | Idac Holdings, Inc. | Methods and systems for privacy protection of 5g slice identifier |
| US20190254094A1 (en) * | 2018-02-15 | 2019-08-15 | Apple Inc. | Apparatus, System, and Method for Performing GUTI Reallocation |
| WO2019183834A1 (en) * | 2018-03-28 | 2019-10-03 | Zte Corporation | Methods and system for transmitting a temporary identifier |
| WO2019193538A1 (en) * | 2018-04-05 | 2019-10-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Paging optimization using truncated ue identifiers |
| EP3565373A1 (en) * | 2018-04-26 | 2019-11-06 | HTC Corporation | Device and method of handling a radio resource control reestablishment |
Non-Patent Citations (1)
| Title |
|---|
| SA WG2 Meeting #135, Qualcomm Incorporated, Discussion on System aspects of Connection Reestablishment for Control Plane for NB-IoT, S2-1909912, 10.2019. * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220210859A1 (en) | Data transmission method and apparatus | |
| WO2020221218A1 (en) | Information acquisition method and device | |
| CN111148245A (en) | Communication method, network equipment, user equipment and communication system | |
| KR20200086721A (en) | Security protection methods and devices | |
| CN108605225A (en) | A kind of security processing and relevant device | |
| US20220174761A1 (en) | Communications method and apparatus | |
| US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
| US20220174497A1 (en) | Communication Method And Apparatus | |
| US10554693B2 (en) | Security configuration method for radio bearer and device | |
| WO2020249126A1 (en) | Security verification method and device | |
| CN109644475A (en) | Data transmission method, device and system | |
| KR102104844B1 (en) | Data transmission method, first device and second device | |
| TWI747480B (en) | Security key synchronization method and communication apparatus | |
| RU2805219C1 (en) | Method for protecting truncated parameter, device, computer readable data medium and microchip | |
| US20220264305A1 (en) | Method for Protecting Truncated Parameter and Apparatus | |
| WO2019011181A1 (en) | Method, apparatus and system for data transmission | |
| CN112789896B (en) | Method and device for switching transmission path | |
| WO2021147053A1 (en) | Data transmission method, apparatus and system | |
| CN107770769B (en) | Encryption method, network side equipment and terminal | |
| WO2023098209A1 (en) | Data transmission protection method, device and system | |
| CN116349326A (en) | Wireless communication method, device and storage medium | |
| CN109792602A (en) | A kind of method, apparatus and system of the transmission of support data |